[Eisfair] samba spamt messages-log (2)

Olaf Jaehrling eisfair at ojaehrling.de
Sa Sep 10 23:05:37 CEST 2022 

So und nun langsam,


Olaf Jaehrling schrieb am 10.09.22 um 22:52:
> Hallo Jürgen,
> 
> Jürgen Pfautsch schrieb am 10.09.22 um 13:18:
> 

>>
>> Aug 10 16:12:23 eis smbd:
>> IP=192.168.0.174|USER=xxx|MACHINE=sam-notebook|VOLUME=Medien|getlock|ok|/Freigabe/1EF55397-7B92-4EA8-B387-3BB2FD441C79.jpeg 
>>
>> Aug 10 16:12:23 eis smbd:
>> IP=192.168.0.174|USER=xxx|MACHINE=sam-notebook|VOLUME=Medien|strict_lock_check|ok|/Freigabe/1EF55397-7B92-4EA8-B387-3BB2FD441C79.jpeg:2166784-16384:1 
> 
> 
> 
> Du hast BFB installiert und die Variable BFB_MONITOR_CRYPTOTROJANER auf 
> yes gesetzt?
> Wenn ja hast du vermutlich auch die Doku dazu gelesen und die 
> entsprechenden Änderungen in der /etc/smb.conf gemacht?
> Zumindest sieht es danach aus.
> Irgendwas versucht hier deine Daten zu ändern, bzw schreibt massiv auf 
> deine Festplatte!
> 
> Bitte prüfe, ob du dir nicht einen Crypto eingefangen hast.
> 


Lt. BFB-Doku benötigt BFB folgende händische Änderungen in der /etc/smb.conf
    [global]
    full_audit:failure = none
    full_audit:success = pwrite write rename
    full_audit:prefix = IP=%I|USER=%u|MACHINE=%m|VOLUME=%S
    full_audit:facility = local7
    full_audit:priority = NOTICE

    und bei jedem zu überwachenden Volumen:
    [Volume]
    vfs objects = full_audit

Diese Einträge bewirken, dass die o.g. Einträge erzeugt werden.
Für mich sieht das auch so aus, dass gerade hier massiv verschlüsselt wird.
Ich kenne keine Dateien, die so ungewöhnliche Änderungen haben
Für mich sieht es so aus, dass die Datei
1EF55397-7B92-4EA8-B387-3BB2FD441C79.jpeg
in
1EF55397-7B92-4EA8-B387-3BB2FD441C79.jpeg:2166784-16384:1
umbenannt wurde. Diese Datei ist vermutlich verschlüsselt.
Der Client, welcher vermutlich infiziert ist hat die IP 192.168.0.174.
Ich würde ihn mal überprüfen.

Leider ist mir diese Methode auch noch nicht untergekommen. Solltest Du 
dir wirklich einen Crypto eingefangen haben, so muss ich BFB wohl 
irgendwie beibringen Alarm zu schlagen, wenn x Einträge pro Minute 
erfolgen. Das Risiko wäre dabei, dass auch das Kopieren von Daten als 
Angriff erkannt werden könnte.

Gruß

Olaf


>>
>> Danke
>> Jürgen
> 

-- 
Paketserver: https://ojaehrling.de/eis/index.txt

Mehr Informationen über die Mailingliste Eisfair