Добавил детектов на все, что представляет интерес из этих папок. С одним из следующих обновлений баз начнут детектироваться (через ~2 часа).
Вам надо почистить crontab, почистить ~/.ssh/authorized_keys от малварного.
У вас с защитой SSH все в порядке? С "левых" IP коннекты заблокированы?
Поясните, пожалуйста, что значит заражается самба ресурс?
Спасибо, очень радует Ваше внимание.
"Поясните, пожалуйста, что значит заражается самба ресурс?"
Опишу ситуацию. Управляю десятками серверов. В основном это VPN-серверы и маршрутизаторы. Иногда включаю samba, если необходимы общие ресурсы у всех пользователей. Еще реже - включаю samba в компаниях, где есть удаленные или приходящие сотрудники БЕЗ установленных средств Dr.Web.
Есть 2-3 организации, где прослеживается один и тот же сценарий: приходящий сотрудник на зараженном ноутбуке подключается к ресурсам сети, использует папки обмена (samba), а после этого обнаруживается, что от имени пользователя samba (получается от имени пользователя linux, поскольку учетные записи синхронизированы) на сервере стартуют майнеры как раз из /tmp/. Похоже, что уязвимости samba не закрыты до сих пор...
Я да, заметил, что постоянно пишется в ~/.ssh/authorized_keys, но каждый раз Dr.Web отрабатывает по нему успешно и удаляет все майнеры. Только в этот раз столкнулся с Unpacking error...
С ssh думаю, что да, в порядке. Но как сказать. root - нельзя логиниться, а под пользователями с сертификатами - можно. Я подумаю над Вашим комментарием об ограничении списка ip-адресов для входа по ssh. Я понимаю, что здесь fail2ban - уже мимо темы.
Возможно, у Вас найдется рекомендация или вектор по поводу того, куда же двигаться, чтобы уйти от уязвимостей samba и постоянных заражений через эту службу.
Спасибо большое за помощь.
