Koozali.org: home of the SME Server

Problemi virus

Offline killrob

  • ****
  • 241
  • +0/-0
Problemi virus
« on: March 21, 2017, 12:53:39 PM »
Salve a tutti,
SME server 8 server+gateway
c'è un virus sul server che mi rinomina i file .pdf in .jse e non so come debellarlo. Clamav, aggiornato, non rileva nulla come posso fare? che tools posso utilizzare?
Non appena copia un file .pdf dal computer locale al server dopo nemmeno 1 minuto viene rinominato in .jse e diventa chiaramente illeggibile. Cercando in rete non ho trovato notizie riguardo a questo tipo di infezione quindi chiedo aiuto qui, sperando di risolvere.
Grazie a tutti
p.s.: tutti i client (windows) sono stati "disinfettati" con 5 antivirus differenti con partenza da CD

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Problemi virus
« Reply #1 on: March 21, 2017, 01:12:28 PM »
se è qualcosa che gira sul server significa che la tua macchina è compromessa.

maggiori info, please.. ci sono applicazioni web esposte su WAN?

clamav non fa la scansione del S.O. ma solo di alcune directory

SME8 è unsupported
se necessiti di supporto per determinare il problema, contattami offline

Offline killrob

  • ****
  • 241
  • +0/-0
Re: Problemi virus
« Reply #2 on: March 21, 2017, 01:15:34 PM »
no non ci sono applicazioni esposte.

il server lo utilizzano solo con le i-bays per condividere files

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Problemi virus
« Reply #3 on: March 21, 2017, 01:19:45 PM »
Allora i client non son puliti  :-)
Prova a copiare un PDF con filezilla in un ibay e vedi se succede ancora

Offline killrob

  • ****
  • 241
  • +0/-0
Re: Problemi virus
« Reply #4 on: March 21, 2017, 02:00:04 PM »
ci proverò,adesso non sono in grado di farlo, lo faccio alle 17:30
ma siccome è una cosa che non ho mai fatto....

in filezilla ci metto l'indirizzo ip del server? e come utenza e password ci metto un utenza che può accedere a quelle i-bays o quella admin?

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Problemi virus
« Reply #5 on: March 21, 2017, 02:22:38 PM »
ok.. fai così:

- usa filezilla con credenziali di root
- come indirizzo host metti l'ip del server, metodo scp
- copia il file nella directory /home/e-smith/files/ibays/TUOIBAY/files

poi loggati come root in ssh

come prima cosa, dai
Code: [Select]
db accounts setprop TUOIBAY Audit enabled
signal-event ibay-modify TUOIBAY

questo attiva l'auditing dei file/dir nell'ibay selezionato..

poi, vai su /home/e-smith/files/ibays/TUOIBAY/files
Code: [Select]
cd /home/e-smith/files/ibays/TUOIBAY/files

avrai il tuo file con permessi diversi..
identifica un file qualsiasi già presente nella dir

facendo
Code: [Select]
ls -la filediesempio

otterrai una cosa tipo
Code: [Select]
[root@mailserver sogo]# ls -la sogo.log
-rw-r--r-- 1 sogo sogo 9366531 Mar 21 14:04 sogo.log

supponendo che il tuo file sia pippo.pdf, fai
Code: [Select]
chown --reference=filediesempio pippo.pdf
chmod --reference=filediesempio pippo.pdf

in questo modo il file trasferito avrà permessi e credenziali corrette.. ma non è stato trasferito via samba (condivisione di rete)
adesso prova a vedere se, aprendo quel percorso con i client, il file viene rinominato

in ogni caso, butta un occhio al file /var/log/samba/samba_audit: li trovi tutte le operazioni fatte sui file/dir della share dai client, comprese rinomine e cancellazioni..

Offline killrob

  • ****
  • 241
  • +0/-0
Re: Problemi virus
« Reply #6 on: March 21, 2017, 04:53:45 PM »
ok farò come dici e poi ti faccio sapere...
poi però mi dici perchè, a tuo dire, i clients non sono puliti. Io mi aspettavo che, essendo ancora infetti, il file venisse rinominato direttamente sul client e non dopo che è stato copiato sul server.
« Last Edit: March 21, 2017, 05:08:45 PM by killrob »

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Problemi virus
« Reply #7 on: March 21, 2017, 05:23:32 PM »
premesso che vado di deduzioni, supposizioni e baso tutto sulla mia esperienza..

mi hai detto che la macchina è solo un file server, non esposto su WAN (i.e. nessuna applicazione web.. ma posta? VPN?)

se fosse così, non c'è modo per SME di essere stato infettato.. l'accesso tramite samba è relegato a directories ben precise ed i permessi non permettono di toccare il filesystem, il che significa che non c'è possibilità che qualcosa, passando attraverso samba, sia veicolata dai client al server..

quindi *per me* il server è pulito
la catena è composta da 2 anelli: server e client.. se il server è pulito, restano i client..

naturalmente ignoro cosa ci sia su quel server in termini di contribs e cosa (e come) sia stato eventualmente personalizzato

come li aprite/visualizzate i pdf? perchè .jse è una estensione non necessariamente pericolosa (e magari qualche client ha una impostazione sbagliata che salva quei file con quell'estensione)

in ogni caso, se attivi l'audit ed un file viene rinominato *via samba* (i.e. da un client) saprai subito da che macchina..

infine, relativamente a SME8, essendo il sistema in EOL (o quasi, manca una settimana), la policy sarebbe di risponderti "è unsupported"..
voglio solo assicurarmi che la macchina stia bene e che tu quindi possa migrare senza problemi alla 9 (cosa che ti invito a fare prima di ieri)

Offline killrob

  • ****
  • 241
  • +0/-0
Re: Problemi virus
« Reply #8 on: March 21, 2017, 05:56:38 PM »
Ok ho capito,
la posta non passa su SME ci si appoggiano solo i .pst di outlook, VPN la ho e la uso solo io dalla mia postazione di casa (o il mio smartphone) ed il mio pc non è infetto.
come contribs sul server c'è solo Disk ARchive e Crontab Manager.
i pdf vengono aperti con acrobat reader e vengono creati, quando serve, da files .doc con MS words altrimenti arrivano via posta come allegati. E comunque mi hanno appena detto che stamattina è stato copiato un .pdf in una delle directory e 5 minuti dopo erano già stati rinominati.
« Last Edit: March 21, 2017, 06:18:26 PM by killrob »

Offline killrob

  • ****
  • 241
  • +0/-0
Re: Problemi virus
« Reply #9 on: March 21, 2017, 06:15:23 PM »
il samba_audit sotto /var/log/samba è vuoto
mi da dimensione 0 e data 30 ago 2014

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Problemi virus
« Reply #10 on: March 21, 2017, 06:17:45 PM »
hai abilitato l'audit come ti ho detto?

Offline killrob

  • ****
  • 241
  • +0/-0
Re: Problemi virus
« Reply #11 on: March 21, 2017, 06:18:59 PM »
si fatto
l'ibay a cui ho fatto l'audit ha delle sottocartelle in una delle quali ho trasferito il file via filezilla
« Last Edit: March 21, 2017, 06:21:19 PM by killrob »

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Problemi virus
« Reply #12 on: March 21, 2017, 06:20:47 PM »
ok.. macchina aggiornata?
hai provato, dopo aver abilitato l'audit, a connetterti alla share di rete?

mi posti l'output di
Code: [Select]
db accounts show TUOIBAY
?

grazie

Offline killrob

  • ****
  • 241
  • +0/-0
Re: Problemi virus
« Reply #13 on: March 21, 2017, 06:23:19 PM »
[root@sassone01 samba]# db accounts show agriamm
agriamm=ibay
    Audit=enabled
    CgiBin=disabled
    Gid=5042
    Group=amministrazione
    Name=amministrazione generale
    PasswordSet=no
    PublicAccess=none
    Uid=5042
    UserAccess=wr-group-rd-group
[root@sassone01 samba]#

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Problemi virus
« Reply #14 on: March 21, 2017, 06:26:05 PM »
macchina aggiornata? (agli ultimi aggiornamenti disponibili per SME8 intendo)