Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Хакеры хозяйничают в общей папке  (Прочитано 2886 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн GayazOFF

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Хакеры хозяйничают в общей папке
« : 05 Августа 2022, 08:44:34 »
Добрый день, подскажите начинающему как защититься. Были открыты SSH их закрыл, раньше в логах авторизации были SSH соединения, сейчас не разбираюсь и не могу понять откуда заходят, подозрения, что через саму SAMBA как то могут заходить через инет???

Вот в день атаки вируса CHECKMATE какие подозрительные действия в логах SAMBA
Aug  2 17:15:04 sysadmin smbd_audit: nobody|192.168.100.250|open|ok|r|.
Aug  2 17:15:04 sysadmin smbd_audit: message repeated 52 times: [ nobody|192.168.100.250|open|ok|r|.]
Aug  2 17:15:12 sysadmin systemd[1]: Started CUPS Scheduler.
Aug  2 17:17:01 sysadmin CRON[25540]: (root) CMD (   cd / && run-parts --report /etc/cron.hourly)
Aug  2 17:28:12 sysadmin systemd[1]: Started CUPS Scheduler.
Aug  2 17:54:13 sysadmin systemd[1]: message repeated 2 times: [ Started CUPS Scheduler.]
Aug  2 18:00:03 sysadmin systemd[1]: Starting Daily apt activities...
Aug  2 18:00:04 sysadmin systemd[1]: Started Daily apt activities.
Aug  2 18:00:04 sysadmin systemd[1]: apt-daily.timer: Adding 41min 40.832059s random time.
Aug  2 18:00:04 sysadmin systemd[1]: apt-daily.timer: Adding 10h 45min 933.345ms random time.
Aug  2 18:07:14 sysadmin systemd[1]: Started CUPS Scheduler.
Aug  2 18:17:01 sysadmin CRON[26260]: (root) CMD (   cd / && run-parts --report /etc/cron.hourly)
Aug  2 18:19:25 sysadmin smbd[26272]: [2022/08/02 18:19:25.408679,  0] ../source3/smbd/sesssetup.c:855(reply_sesssetup_and_X)
Aug  2 18:19:25 sysadmin smbd[26272]:   reply_sesssetup_and_X:  Rejecting attempt at 'normal' session setup after negotiating spnego.
Aug  2 18:20:14 sysadmin systemd[1]: Started CUPS Scheduler.
Aug  2 18:21:24 sysadmin smbd[26290]: [2022/08/02 18:21:24.795910,  0] ../source3/smbd/sesssetup.c:855(reply_sesssetup_and_X)
Aug  2 18:21:24 sysadmin smbd[26290]:   reply_sesssetup_and_X:  Rejecting attempt at 'normal' session setup after negotiating spnego.
Aug  2 18:33:15 sysadmin systemd[1]: Started CUPS Scheduler.
Aug  2 18:59:16 sysadmin systemd[1]: message repeated 2 times: [ Started CUPS Scheduler.]
Aug  2 19:03:34 sysadmin smbd_audit: nobody|5.44.41.13|open|ok|w|!CHECKMATE_DECRYPTION_README
Aug  2 19:03:34 sysadmin smbd_audit: message repeated 7 times: [ nobody|5.44.41.13|open|ok|w|!CHECKMATE_DECRYPTION_README]
Aug  2 19:03:34 sysadmin smbd_audit: nobody|5.44.41.13|pwrite|ok|Архитектор/скачка/Исполнительная Региональ/Парк.23А/!CHECKMATE_DECRYPTION_README
Aug  2 19:03:34 sysadmin smbd_audit: nobody|5.44.41.13|pwrite|ok|Архитектор/скачка/!CHECKMATE_DECRYPTION_README
Aug  2 19:03:34 sysadmin smbd_audit: nobody|5.44.41.13|pwrite|ok|Архитектор/скачка/Исполнительная Региональ/Парк.3/!CHECKMATE_DECRYPTION_README
Aug  2 19:03:34 sysadmin smbd_audit: nobody|5.44.41.13|pwrite|ok|Архитектор/СметаТорос/!CHECKMATE_DECRYPTION_README
Aug  2 19:03:34 sysadmin smbd_audit: nobody|5.44.41.13|open|ok|w|акт на скрытые работы .xls
Aug  2 19:03:34 sysadmin smbd_audit: nobody|5.44.41.13|open|ok|w|торг.центр1.dwg
Aug  2 19:03:34 sysadmin smbd_audit: nobody|5.44.41.13|pwrite|ok|Архитектор/скачка/Исполнительная Региональ/Лен.62А/!CHECKMATE_DECRYPTION_README

Вот в логах авторизации в этот же период времени
(Нажмите, чтобы показать/скрыть)

Оффлайн БТР

  • Заслуженный пользователь
  • СуперМодератор
  • Старожил
  • *
  • Сообщений: 6237
    • Просмотр профиля
Re: Хакеры хозяйничают в общей папке
« Ответ #1 : 05 Августа 2022, 09:19:33 »
через саму SAMBA как то могут заходить через инет???
если SAMBA выставлена в интернет, почему нет?

Оффлайн bezbo

  • Старожил
  • *
  • Сообщений: 1790
    • Просмотр профиля
Re: Хакеры хозяйничают в общей папке
« Ответ #2 : 05 Августа 2022, 11:19:18 »
откуда заходят

sudo netstat -ntulp?

и проверить снаружи открытые порты, например https://dnschecker.org/port-scanner.php

Оффлайн GayazOFF

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: Хакеры хозяйничают в общей папке
« Ответ #3 : 05 Августа 2022, 12:07:05 »
?

и проверить снаружи открытые порты, например https://dnschecker.org/port-scanner.php

Ответ на команду sudo netstat -ntulp

Активные соединения с интернетом (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State       PID/Program name
tcp        0      0 0.0.0.0:39669           0.0.0.0:*               LISTEN      4455/anydesk   
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      18956/cupsd     
tcp        0      0 0.0.0.0:9276            0.0.0.0:*               LISTEN      19363/sshd     
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      19945/smbd     
tcp        0      0 0.0.0.0:7070            0.0.0.0:*               LISTEN      4455/anydesk   
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      19945/smbd     
tcp        0      0 127.0.0.1:54321         0.0.0.0:*               LISTEN      1449/avgtcpd   
tcp        0      0 127.0.0.1:54322         0.0.0.0:*               LISTEN      1449/avgtcpd   
tcp6       0      0 ::1:631                 :::*                    LISTEN      18956/cupsd     
tcp6       0      0 :::9276                 :::*                    LISTEN      19363/sshd     
tcp6       0      0 :::445                  :::*                    LISTEN      19945/smbd     
tcp6       0      0 :::139                  :::*                    LISTEN      19945/smbd     
udp        0      0 0.0.0.0:631             0.0.0.0:*                           18957/cups-browsed
udp        0      0 192.168.100.255:137     0.0.0.0:*                           19169/nmbd     
udp        0      0 192.168.100.254:137     0.0.0.0:*                           19169/nmbd     
udp        0      0 0.0.0.0:137             0.0.0.0:*                           19169/nmbd     
udp        0      0 192.168.100.255:138     0.0.0.0:*                           19169/nmbd     
udp        0      0 192.168.100.254:138     0.0.0.0:*                           19169/nmbd     
udp        0      0 0.0.0.0:138             0.0.0.0:*                           19169/nmbd     
udp        0      0 0.0.0.0:51372           0.0.0.0:*                           25309/avahi-daemon:
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           25309/avahi-daemon:
udp        0      0 0.0.0.0:50001           0.0.0.0:*                           4455/anydesk   
udp6       0      0 :::5353                 :::*                                25309/avahi-daemon:
udp6       0      0 :::60324                :::*                                25309/avahi-daemon:

Интресный сайт, не знал про него, вот результат

21 FTP - Timed-Out
22 SSH - Timed-Out
23 Telnet - Timed-Out
25 SMTP - Timed-Out
53 DNS - Timed-Out
80 HTTP - Timed-Out
110 POP3 - Timed-Out
115 SFTP - Timed-Out
135 RPC - Timed-Out
139 NetBIOS - Open
143 IMAP - Timed-Out
194 IRC - Timed-Out
443 SSL - Timed-Out
445 SMB - Open
1433 MSSQL - Timed-Out
3306 MySQL - Timed-Out
3389 Remote Desktop - Timed-Out
5632 PCAnywhere - Timed-Out
5900 VNC - Timed-Out
25565 Minecraft - Timed-Out

Получается 139 NetBIOS и 445 SMB открыты. Подскажите пожалуйста как их безопасно выключить при том, что данный комп расшарен общими папками и раздает инет в сеть.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28466
    • Просмотр профиля
Re: Хакеры хозяйничают в общей папке
« Ответ #4 : 05 Августа 2022, 12:18:24 »
Правильно настроить Самбу.

[global]
interfaces = 192.168.100.0/24
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн GayazOFF

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: Хакеры хозяйничают в общей папке
« Ответ #5 : 05 Августа 2022, 13:29:52 »
[global]
interfaces = 192.168.100.0/2

А данный код проканает ли если к примеру у меня есть подсеть еще 192.168.0... роутер раздает wifi иногда кто подключен к нему тоже по сети в папку обращаются, у меня сейчас стоят такие настройки конфига:
[global]
#nt pipe support = no
netbios name = sysadmin
dns proxy = no
hosts allow = 192.168.100., 192.168.0., 192.168.1.
hosts denny 192.168.100.111
interfaces = enp3s0
auto services = global
os level = 20
map to guest = bad user
server string = sysadmin
security = user
workgroup = RJS
guest account = nobody
name resolve order = bcast host
wins support = no
syslog = 1
log file = /var/log/samba/log.%|
max log size = 5000
max log size = 1000
syslog only = no
dos charset = cp866
unix charset = UTF-8

в данном коде hosts allow = 192.168.100., 192.168.0., 192.168.1. вообще как будто никак не работает, то есть я специально с ноута по wifi пробовал заходить по ip адресу шары когда в это строчке была только подсеть hosts allow = 192.168.100. я все таки мог без проблем заходить с подсети 192.168.0...

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28466
    • Просмотр профиля
Re: Хакеры хозяйничают в общей папке
« Ответ #6 : 05 Августа 2022, 15:20:27 »
hosts denny 192.168.100.111
Запустите samba-tool --testparm --suppress-promptУдивитесь.

Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн GayazOFF

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: Хакеры хозяйничают в общей папке
« Ответ #7 : 05 Августа 2022, 15:37:56 »
hosts denny 192.168.100.111
Запустите samba-tool --testparm --suppress-promptУдивитесь.

А что дает эта команда? Вот ее результат:
samba-tool --testparm --suppress-prompt
Usage: samba-tool <subcommand>

samba-tool: error: no such option: --testparm

Онлайн Usermaster

  • СуперМодератор
  • Старожил
  • *
  • Сообщений: 2963
    • Просмотр профиля
Re: Хакеры хозяйничают в общей папке
« Ответ #8 : 05 Августа 2022, 15:44:48 »
Там не надо --

samba-tool --help
samba-tool testparm
И они вроде как не комбинируются, по отдельности надо

samba-tool processes
« Последнее редактирование: 05 Августа 2022, 15:46:27 от Usermaster »
А чего это вы тут делаете, а?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28466
    • Просмотр профиля
Re: Хакеры хозяйничают в общей папке
« Ответ #9 : 05 Августа 2022, 15:50:25 »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн GayazOFF

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: Хакеры хозяйничают в общей папке
« Ответ #10 : 05 Августа 2022, 16:15:23 »
samba-tool testparm

он написал это
Unknown parameter encountered: "hosts denny"
Ignoring unknown parameter "hosts denny"
You have some share names that are longer than 12 characters. These may not be accessible to some older clients. (Eg. Windows9x, WindowsMe, and not listed in smbclient in Samba 3.0.)
Press enter to see a dump of your service definitions
и вывел мне мой конфиг, что это значит?
я так понял он не знает параметр hosts denny и просто игнорит его? не суть, это исключение уже не актуально и давно, мне бы закрыть порты 139 NetBIOS и 445 SMB, при этом чтобы продолжалась раздача инета в сеть и шара работала

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28466
    • Просмотр профиля
Re: Хакеры хозяйничают в общей папке
« Ответ #11 : 05 Августа 2022, 16:22:42 »
Я уже с казал, что сделать.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн GayazOFF

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: Хакеры хозяйничают в общей папке
« Ответ #12 : 05 Августа 2022, 16:34:32 »
Я уже с казал, что сделать.

пропишу вот это в конфиге interfaces = 192.168.100.0/24а на сам сервак никто не залезет по портам 139 NetBIOS и 445 SMB?

и еще, могу ли я прописать чтобы работало: interfaces = 192.168.100.0/24, 192.168.0.0/24 ? то есть мне еще подсеть нужна или просто прописать друг под другом?
interfaces = 192.168.100.100/24
interfaces = 192.168.100.0/24
просто друг под другом не работало в случае с hosts allow вообще никого не пускало

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28466
    • Просмотр профиля
Re: Хакеры хозяйничают в общей папке
« Ответ #13 : 05 Августа 2022, 18:14:56 »
А сообразить, что для решения вашей задачи нужно немного больше информации - никак?

ip addr показывайте.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн GayazOFF

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: Хакеры хозяйничают в общей папке
« Ответ #14 : 07 Августа 2022, 20:43:56 »
А сообразить, что для решения вашей задачи нужно немного больше информации - никак?

ip addr показывайте.

ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: enp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 1000
    link/ether 00:80:48:1a:61:13 brd ff:ff:ff:ff:ff:ff
    inet 192.168.100.254/24 brd 192.168.100.255 scope global enp3s0
       valid_lft forever preferred_lft forever
    inet6 fe80::280:48ff:fe1a:6113/64 scope link
       valid_lft forever preferred_lft forever
3: enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:24:1d:85:4b:a6 brd ff:ff:ff:ff:ff:ff
    inet 88.56.133.30/24 brd 88.56.133.255 scope global enp2s0
       valid_lft forever preferred_lft forever
    inet6 fe80::224:1dff:fe85:4ba6/64 scope link
       valid_lft forever preferred_lft forever
4: wlp3s1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether 00:06:4f:5a:5c:14 brd ff:ff:ff:ff:ff:ff

айпишники я изменил из выдачи
« Последнее редактирование: 07 Августа 2022, 21:18:16 от Aleksandru »

 

Страница сгенерирована за 0.067 секунд. Запросов: 25.