Перейти к содержимому


Фото
- - - - -

kswapd0 - Unpacking error

Unpacking errorб samba smb linux

  • Please log in to reply
18 ответов в этой теме

#1 wcpgrief

wcpgrief

    Newbie

  • Posters
  • 82 Сообщений:

Отправлено 03 Декабрь 2022 - 12:20

Добрый день.

 

процесс грузит ядро на 100%. Майнер. До этого сканирование процессов и файлов решало проблему.

Сейчас - нет: /tmp/.X2k6-unix/.rsync/a/kswapd0 - Unpacking error

 

1. Как можно с такой ошибкой процесс отправлять на карантин?

2. есть решение в будущем ловить такие угрозы?

3. На серверах регулярно заражается samba-ресурс. Не подскажите, где почитать рекомендации по защите?

 

используем в командной строке: drweb-ctl procscan --OnKnownVirus=CURE --OnHacktools=QUARANTINE  --OnIncurable=QUARANTINE

 

Спасибо за ваш труд.

 

 



#2 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 351 Сообщений:

Отправлено 05 Декабрь 2022 - 12:07

Запакуйте в архив папку /tmp/.X2k6-unix/ и пришлите на анализ: vms.drweb.com/sendvirus/ 

 

Номер тикета, который придет на почту, укажите здесь.



#3 wcpgrief

wcpgrief

    Newbie

  • Posters
  • 82 Сообщений:

Отправлено 06 Декабрь 2022 - 00:36

Спасибо, сделал.

Уже 2 сервера таких нашлось.

Тикеты:

#10620692

#10620700



#4 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 351 Сообщений:

Отправлено 06 Декабрь 2022 - 12:40

Добавил детектов на все, что представляет интерес из этих папок. С одним из следующих обновлений баз начнут детектироваться (через ~2 часа). 

 

Вам надо почистить crontab, почистить ~/.ssh/authorized_keys от малварного. 

 

У вас с защитой SSH все в порядке? С "левых" IP коннекты заблокированы?

 

Поясните, пожалуйста, что значит заражается самба ресурс?



#5 wcpgrief

wcpgrief

    Newbie

  • Posters
  • 82 Сообщений:

Отправлено 06 Декабрь 2022 - 23:54

Добавил детектов на все, что представляет интерес из этих папок. С одним из следующих обновлений баз начнут детектироваться (через ~2 часа). 

 

Вам надо почистить crontab, почистить ~/.ssh/authorized_keys от малварного. 

 

У вас с защитой SSH все в порядке? С "левых" IP коннекты заблокированы?

 

Поясните, пожалуйста, что значит заражается самба ресурс?

Спасибо, очень радует Ваше внимание.

 

"Поясните, пожалуйста, что значит заражается самба ресурс?"

Опишу ситуацию. Управляю десятками серверов. В основном это VPN-серверы и маршрутизаторы. Иногда включаю samba, если необходимы общие ресурсы у всех пользователей. Еще реже - включаю samba в компаниях, где есть удаленные или приходящие сотрудники БЕЗ установленных средств Dr.Web.

 

Есть 2-3 организации, где прослеживается один и тот же сценарий: приходящий сотрудник на зараженном ноутбуке подключается к ресурсам сети, использует папки обмена (samba), а после этого обнаруживается, что от имени пользователя samba (получается от имени пользователя linux, поскольку учетные записи синхронизированы) на сервере стартуют майнеры как раз из /tmp/. Похоже, что уязвимости samba не закрыты до сих пор...

 

Я да, заметил, что постоянно пишется в ~/.ssh/authorized_keys, но каждый раз Dr.Web отрабатывает по нему успешно и удаляет все майнеры. Только в этот раз столкнулся с Unpacking error...

 

С ssh думаю, что да, в порядке. Но как сказать. root - нельзя логиниться, а под пользователями с сертификатами - можно. Я подумаю над Вашим комментарием об ограничении списка ip-адресов для входа по ssh. Я понимаю, что здесь fail2ban - уже мимо темы.

 

Возможно, у Вас найдется рекомендация или вектор по поводу того, куда же двигаться, чтобы уйти от уязвимостей samba и постоянных заражений через эту службу.

 

Спасибо большое за помощь.



#6 wcpgrief

wcpgrief

    Newbie

  • Posters
  • 82 Сообщений:

Отправлено 06 Декабрь 2022 - 23:59

Да, после обновления баз все нашлось и без проблем обработано:

 

/home/all/.configrc3/a/run - infected with Linux.BtcMine.631
/home/all/.configrc3/a/run: Cure: Success
/home/all/.configrc3/a/kswapd0 - infected with Linux.BtcMine.630
/home/all/.configrc3/a/kswapd0: Cure: Success
/home/all/.configrc3/b/run - infected with Linux.BackDoor.Shell.163
/home/all/.configrc3/b/run: Cure: Success
Scanned objects: 78785, scan errors: 0, threats found: 3, threats neutralized: 3.

 



#7 Igorn

Igorn

    Advanced Member

  • Dr.Web Staff
  • 512 Сообщений:

Отправлено 07 Декабрь 2022 - 09:37

куда же двигаться, чтобы уйти от уязвимостей samba

 

Не пробовали https://cdn-download.drweb.com/pub/drweb/unix/server/11.1/documentation/html/ru/ ?



#8 wcpgrief

wcpgrief

    Newbie

  • Posters
  • 82 Сообщений:

Отправлено 07 Декабрь 2022 - 09:41

Честно говоря - нет. Я понял, стоит попробовать. Обращусь в партнерский отдел, запрошу ключ, спасибо.



#9 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 3 575 Сообщений:

Отправлено 07 Декабрь 2022 - 09:52

включаю samba в компаниях, где есть удаленные или приходящие сотрудники БЕЗ установленных средств Dr.Web.

Ну, это такое себе дело.
 

С ssh думаю, что да, в порядке. Но как сказать. root - нельзя логиниться, а под пользователями с сертификатами - можно.

А зачем пользователям доступ по ssh, и главное куда?


Мужчины мне ничего не должны, именно поэтому я легко их отпускаю.

#10 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 3 575 Сообщений:

Отправлено 07 Декабрь 2022 - 10:07

1. Закройте всем доступ по ssh:

PermitRootLogin no

AllowUsers user

 

2. Смените ssh порт.

3. В фаерволе ограничьте доступ по ip (iptables -s)

4. Настройте port-security на свитчах.

5. Всем сотрудникам кто подключается к корпоративной сети установите антивирус.


Мужчины мне ничего не должны, именно поэтому я легко их отпускаю.

#11 wcpgrief

wcpgrief

    Newbie

  • Posters
  • 82 Сообщений:

Отправлено 07 Декабрь 2022 - 10:15

 

включаю samba в компаниях, где есть удаленные или приходящие сотрудники БЕЗ установленных средств Dr.Web.

Ну, это такое себе дело.
 

С ssh думаю, что да, в порядке. Но как сказать. root - нельзя логиниться, а под пользователями с сертификатами - можно.

А зачем пользователям доступ по ssh, и главное куда?

 

Это умолчание, я лишь констатировал факт проблемы безопасности.



#12 wcpgrief

wcpgrief

    Newbie

  • Posters
  • 82 Сообщений:

Отправлено 07 Декабрь 2022 - 10:17

1. Закройте всем доступ по ssh:

PermitRootLogin no

AllowUsers user

 

2. Смените ssh порт.

3. В фаерволе ограничьте доступ по ip (iptables -s)

4. Настройте port-security на свитчах.

5. Всем сотрудникам кто подключается к корпоративной сети установите антивирус.

 

Ок, спасибо.

1. не подойдет, ведь серверами нужно управлять.

3. тоже не подойдет, поскольку нужен доступ для администрирования откуда угодно. Я подумаю о "мостике" ноутбук-vds-целевой_сервер, где у vds всегда постоянный адрес.

4. ( неуправляемые

5. вот здесь полностью согласен

 

Спасибо за советы.



#13 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 3 575 Сообщений:

Отправлено 07 Декабрь 2022 - 10:47

1. не подойдет, ведь серверами нужно управлять.

AllowUsers user1 user2

 

Что не подойдет? Сколько у вас человек управляют серверами?


Я подумаю о "мостике" ноутбук-vds-целевой_сервер, где у vds всегда постоянный адрес.

Да, самое время подумать.


Мужчины мне ничего не должны, именно поэтому я легко их отпускаю.

#14 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 621 Сообщений:

Отправлено 07 Декабрь 2022 - 11:10

3. тоже не подойдет, поскольку нужен доступ для администрирования откуда угодно.
Организовать что-то вроде portknocking - не? И доступ будет откуда угодно, но только тому, кто правильно постучится в порт(ы)...

#15 wcpgrief

wcpgrief

    Newbie

  • Posters
  • 82 Сообщений:

Отправлено 07 Декабрь 2022 - 12:58

 

1. не подойдет, ведь серверами нужно управлять.

AllowUsers user1 user2

 

Что не подойдет? Сколько у вас человек управляют серверами?


Я подумаю о "мостике" ноутбук-vds-целевой_сервер, где у vds всегда постоянный адрес.

Да, самое время подумать.

 

1. Я понял, что Вы имеете ввиду, Ваш совет подходит, спасибо.


 

3. тоже не подойдет, поскольку нужен доступ для администрирования откуда угодно.
Организовать что-то вроде portknocking - не? И доступ будет откуда угодно, но только тому, кто правильно постучится в порт(ы)...

 

Большое спасибо, очень нужный совет! Поставил в работу.



#16 wcpgrief

wcpgrief

    Newbie

  • Posters
  • 82 Сообщений:

Отправлено 08 Декабрь 2022 - 13:10

Добрый день.

Еще нашелся с этой ошибкой.

 

/tmp/.X2uni-unix/.rsync/a/kswapd0 - Unpacking error
/tmp/.X2uni-unix/.rsync/c/blitz - Unpacking error

 

Вдобавок, кроме kswapd0, запускает кучу процессов blitz и httpd

 

Тикет: #10624189



#17 wcpgrief

wcpgrief

    Newbie

  • Posters
  • 82 Сообщений:

Отправлено 14 Декабрь 2022 - 09:27

Добрый день.

Прошу обратить внимание на Тикет: #10624189.

Спасибо заранее)



#18 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 351 Сообщений:

Отправлено 15 Декабрь 2022 - 07:31

Добавил. Вы  в следующий раз в личные сообщения напишите, а то сообщение просто на форуме можно проглядеть.



#19 wcpgrief

wcpgrief

    Newbie

  • Posters
  • 82 Сообщений:

Отправлено 15 Декабрь 2022 - 11:10

Добавил. Вы  в следующий раз в личные сообщения напишите, а то сообщение просто на форуме можно проглядеть.

 

Буду иметь ввиду. Спасибо! (жму руку)





Also tagged with one or more of these keywords: Unpacking errorб, samba, smb, linux

Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых