Koozali.org: home of the SME Server

Problemi virus

Offline killrob

  • ****
  • 241
  • +0/-0
Problemi virus
« on: March 21, 2017, 12:53:39 PM »
Salve a tutti,
SME server 8 server+gateway
c'è un virus sul server che mi rinomina i file .pdf in .jse e non so come debellarlo. Clamav, aggiornato, non rileva nulla come posso fare? che tools posso utilizzare?
Non appena copia un file .pdf dal computer locale al server dopo nemmeno 1 minuto viene rinominato in .jse e diventa chiaramente illeggibile. Cercando in rete non ho trovato notizie riguardo a questo tipo di infezione quindi chiedo aiuto qui, sperando di risolvere.
Grazie a tutti
p.s.: tutti i client (windows) sono stati "disinfettati" con 5 antivirus differenti con partenza da CD

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Problemi virus
« Reply #1 on: March 21, 2017, 01:12:28 PM »
se è qualcosa che gira sul server significa che la tua macchina è compromessa.

maggiori info, please.. ci sono applicazioni web esposte su WAN?

clamav non fa la scansione del S.O. ma solo di alcune directory

SME8 è unsupported
se necessiti di supporto per determinare il problema, contattami offline

Offline killrob

  • ****
  • 241
  • +0/-0
Re: Problemi virus
« Reply #2 on: March 21, 2017, 01:15:34 PM »
no non ci sono applicazioni esposte.

il server lo utilizzano solo con le i-bays per condividere files

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Problemi virus
« Reply #3 on: March 21, 2017, 01:19:45 PM »
Allora i client non son puliti  :-)
Prova a copiare un PDF con filezilla in un ibay e vedi se succede ancora

Offline killrob

  • ****
  • 241
  • +0/-0
Re: Problemi virus
« Reply #4 on: March 21, 2017, 02:00:04 PM »
ci proverò,adesso non sono in grado di farlo, lo faccio alle 17:30
ma siccome è una cosa che non ho mai fatto....

in filezilla ci metto l'indirizzo ip del server? e come utenza e password ci metto un utenza che può accedere a quelle i-bays o quella admin?

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Problemi virus
« Reply #5 on: March 21, 2017, 02:22:38 PM »
ok.. fai così:

- usa filezilla con credenziali di root
- come indirizzo host metti l'ip del server, metodo scp
- copia il file nella directory /home/e-smith/files/ibays/TUOIBAY/files

poi loggati come root in ssh

come prima cosa, dai
Code: [Select]
db accounts setprop TUOIBAY Audit enabled
signal-event ibay-modify TUOIBAY

questo attiva l'auditing dei file/dir nell'ibay selezionato..

poi, vai su /home/e-smith/files/ibays/TUOIBAY/files
Code: [Select]
cd /home/e-smith/files/ibays/TUOIBAY/files

avrai il tuo file con permessi diversi..
identifica un file qualsiasi già presente nella dir

facendo
Code: [Select]
ls -la filediesempio

otterrai una cosa tipo
Code: [Select]
[root@mailserver sogo]# ls -la sogo.log
-rw-r--r-- 1 sogo sogo 9366531 Mar 21 14:04 sogo.log

supponendo che il tuo file sia pippo.pdf, fai
Code: [Select]
chown --reference=filediesempio pippo.pdf
chmod --reference=filediesempio pippo.pdf

in questo modo il file trasferito avrà permessi e credenziali corrette.. ma non è stato trasferito via samba (condivisione di rete)
adesso prova a vedere se, aprendo quel percorso con i client, il file viene rinominato

in ogni caso, butta un occhio al file /var/log/samba/samba_audit: li trovi tutte le operazioni fatte sui file/dir della share dai client, comprese rinomine e cancellazioni..

Offline killrob

  • ****
  • 241
  • +0/-0
Re: Problemi virus
« Reply #6 on: March 21, 2017, 04:53:45 PM »
ok farò come dici e poi ti faccio sapere...
poi però mi dici perchè, a tuo dire, i clients non sono puliti. Io mi aspettavo che, essendo ancora infetti, il file venisse rinominato direttamente sul client e non dopo che è stato copiato sul server.
« Last Edit: March 21, 2017, 05:08:45 PM by killrob »

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Problemi virus
« Reply #7 on: March 21, 2017, 05:23:32 PM »
premesso che vado di deduzioni, supposizioni e baso tutto sulla mia esperienza..

mi hai detto che la macchina è solo un file server, non esposto su WAN (i.e. nessuna applicazione web.. ma posta? VPN?)

se fosse così, non c'è modo per SME di essere stato infettato.. l'accesso tramite samba è relegato a directories ben precise ed i permessi non permettono di toccare il filesystem, il che significa che non c'è possibilità che qualcosa, passando attraverso samba, sia veicolata dai client al server..

quindi *per me* il server è pulito
la catena è composta da 2 anelli: server e client.. se il server è pulito, restano i client..

naturalmente ignoro cosa ci sia su quel server in termini di contribs e cosa (e come) sia stato eventualmente personalizzato

come li aprite/visualizzate i pdf? perchè .jse è una estensione non necessariamente pericolosa (e magari qualche client ha una impostazione sbagliata che salva quei file con quell'estensione)

in ogni caso, se attivi l'audit ed un file viene rinominato *via samba* (i.e. da un client) saprai subito da che macchina..

infine, relativamente a SME8, essendo il sistema in EOL (o quasi, manca una settimana), la policy sarebbe di risponderti "è unsupported"..
voglio solo assicurarmi che la macchina stia bene e che tu quindi possa migrare senza problemi alla 9 (cosa che ti invito a fare prima di ieri)

Offline killrob

  • ****
  • 241
  • +0/-0
Re: Problemi virus
« Reply #8 on: March 21, 2017, 05:56:38 PM »
Ok ho capito,
la posta non passa su SME ci si appoggiano solo i .pst di outlook, VPN la ho e la uso solo io dalla mia postazione di casa (o il mio smartphone) ed il mio pc non è infetto.
come contribs sul server c'è solo Disk ARchive e Crontab Manager.
i pdf vengono aperti con acrobat reader e vengono creati, quando serve, da files .doc con MS words altrimenti arrivano via posta come allegati. E comunque mi hanno appena detto che stamattina è stato copiato un .pdf in una delle directory e 5 minuti dopo erano già stati rinominati.
« Last Edit: March 21, 2017, 06:18:26 PM by killrob »

Offline killrob

  • ****
  • 241
  • +0/-0
Re: Problemi virus
« Reply #9 on: March 21, 2017, 06:15:23 PM »
il samba_audit sotto /var/log/samba è vuoto
mi da dimensione 0 e data 30 ago 2014

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Problemi virus
« Reply #10 on: March 21, 2017, 06:17:45 PM »
hai abilitato l'audit come ti ho detto?

Offline killrob

  • ****
  • 241
  • +0/-0
Re: Problemi virus
« Reply #11 on: March 21, 2017, 06:18:59 PM »
si fatto
l'ibay a cui ho fatto l'audit ha delle sottocartelle in una delle quali ho trasferito il file via filezilla
« Last Edit: March 21, 2017, 06:21:19 PM by killrob »

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Problemi virus
« Reply #12 on: March 21, 2017, 06:20:47 PM »
ok.. macchina aggiornata?
hai provato, dopo aver abilitato l'audit, a connetterti alla share di rete?

mi posti l'output di
Code: [Select]
db accounts show TUOIBAY
?

grazie

Offline killrob

  • ****
  • 241
  • +0/-0
Re: Problemi virus
« Reply #13 on: March 21, 2017, 06:23:19 PM »
[root@sassone01 samba]# db accounts show agriamm
agriamm=ibay
    Audit=enabled
    CgiBin=disabled
    Gid=5042
    Group=amministrazione
    Name=amministrazione generale
    PasswordSet=no
    PublicAccess=none
    Uid=5042
    UserAccess=wr-group-rd-group
[root@sassone01 samba]#

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Problemi virus
« Reply #14 on: March 21, 2017, 06:26:05 PM »
macchina aggiornata? (agli ultimi aggiornamenti disponibili per SME8 intendo)

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Problemi virus
« Reply #15 on: March 21, 2017, 06:29:06 PM »
in /etc/samba/smb.conf dovresti avere qualcosa di simile a questo (contestualizzato al tuo ibay), confermi?

Code: [Select]
[storage]
comment = storage



 

path = /home/e-smith/files/ibays/storage/files
read only = no
writable = yes
printable = no
inherit permissions = yes
create mode = 0664



vfs objects = full_audit
  full_audit:priority=notice
  full_audit:success=opendir mkdir rmdir open write rename unlink
  full_audit:failure=connect
  full_audit:facility=local5
  full_audit:prefix=%u|%I|%S

Offline killrob

  • ****
  • 241
  • +0/-0
Re: Problemi virus
« Reply #16 on: March 21, 2017, 06:30:17 PM »
si aggiornata ieri

e si quello che hai postato è esattamente quello che ho relativa a quell'ibay in audit
« Last Edit: March 21, 2017, 06:34:02 PM by killrob »

Offline killrob

  • ****
  • 241
  • +0/-0
Re: Problemi virus
« Reply #17 on: March 21, 2017, 06:45:12 PM »
la prova di trasferimento via filezilla la DEVO fare da tutti i clients che sospetto siano infetti giusto?

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Problemi virus
« Reply #18 on: March 21, 2017, 06:54:42 PM »
No, basta da uno

Offline killrob

  • ****
  • 241
  • +0/-0
Re: Problemi virus
« Reply #19 on: March 21, 2017, 07:01:41 PM »
allora il risultato è il seguente:
ho caricato il file .pdf come da tue istruzioni 15 minuti fa, e poi ci sono andato direttamente accedendoci dal client con esplora risorse, non contento allo stesso momento, facendo copia incolla classico di windows ci ho copiato un secondo file .pdf.....
risultato nessuno dei 2 files .pdf è stato rinominato.
adesso ho provato da un'altro client a copia/incollare un terzo file .pdf nella stessa directory dei primi 2... a sentire il cliente stamattina dopo 10 minuti il file era stato rinominato.... adesso aspetto

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Problemi virus
« Reply #20 on: March 21, 2017, 07:11:46 PM »
I client sono tutti accesi? Ci sono client "stranieri" (tipo portatili personali o di terzi)?

Offline killrob

  • ****
  • 241
  • +0/-0
Re: Problemi virus
« Reply #21 on: March 21, 2017, 07:27:02 PM »
client tutti accesi e nessuno straniero presente.
Nel pc da dove è partita tutta l'infezione ho trovato il "maledetto" nelle opzioni di avvio in "msconfig": si era annidato in AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup e si chiama wsr64.jse

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Problemi virus
« Reply #22 on: March 21, 2017, 08:54:33 PM »
Doh! :-)

Offline killrob

  • ****
  • 241
  • +0/-0
Re: Problemi virus
« Reply #23 on: March 22, 2017, 12:57:09 PM »
non ti ho nemmeno ringraziato per il supporto Stefano....

GRAZIE 10000  :-) :-) :-) :-) :-)

e provvederò quanto prima a passare a SME 9.1

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Problemi virus
« Reply #24 on: March 22, 2017, 01:16:06 PM »
you are welcome.. :-)

una donazione in termini di tempo (collaborazione) o denaro è ovviamente gradita ;-)

Offline killrob

  • ****
  • 241
  • +0/-0
Re: Problemi virus
« Reply #25 on: March 22, 2017, 07:39:42 PM »
posso contribuire in denaro (anche se non molto) non sono abbastanza "istruito" su SME per collaborare, al limite se vi serve un moderatore per il forum... quello sono in grado  :P

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Problemi virus
« Reply #26 on: March 23, 2017, 11:06:15 AM »
posso contribuire in denaro (anche se non molto) non sono abbastanza "istruito" su SME per collaborare, al limite se vi serve un moderatore per il forum... quello sono in grado  :P

ci accontenteremo della prima :-D