[Eisfair] samba spamt messages-log (2)

[Marcus Röckrath]

Hallo Olaf,

Olaf Jaehrling wrote:

>>> Aug 10 16:12:23 eis smbd:
>>> IP=192.168.0.174|USER=xxx|MACHINE=sam-notebook|VOLUME=Medien|getlock
ok|/Freigabe/1EF55397-7B92-4EA8-B387-3BB2FD441C79.jpeg
>>>
>>> Aug 10 16:12:23 eis smbd:
>>> IP=192.168.0.174|USER=xxx|MACHINE=sam-notebook|VOLUME=Medien
strict_lock_check
ok|/Freigabe/1EF55397-7B92-4EA8-B387-3BB2FD441C79.jpeg:2166784-16384:1
>> 
>> Du hast BFB installiert und die Variable BFB_MONITOR_CRYPTOTROJANER auf
>> yes gesetzt?
> 
> Lt. BFB-Doku benötigt BFB folgende händische Änderungen in der
> /etc/smb.conf
>     [global]
>     full_audit:failure = none
>     full_audit:success = pwrite write rename
>     full_audit:prefix = IP=%I|USER=%u|MACHINE=%m|VOLUME=%S
>     full_audit:facility = local7
>     full_audit:priority = NOTICE
> 
>     und bei jedem zu überwachenden Volumen:
>     [Volume]
>     vfs objects = full_audit
> 
> Diese Einträge bewirken, dass die o.g. Einträge erzeugt werden.
> Für mich sieht das auch so aus, dass gerade hier massiv verschlüsselt
> wird. Ich kenne keine Dateien, die so ungewöhnliche Änderungen haben
> Für mich sieht es so aus, dass die Datei
> 1EF55397-7B92-4EA8-B387-3BB2FD441C79.jpeg
> in
> 1EF55397-7B92-4EA8-B387-3BB2FD441C79.jpeg:2166784-16384:1
> umbenannt wurde. Diese Datei ist vermutlich verschlüsselt.
> Der Client, welcher vermutlich infiziert ist hat die IP 192.168.0.174.
> Ich würde ihn mal überprüfen.

Jürgen schrieb, dass er das nun so schon fast für das ganze Jahr so in den
Logs gefunden hat.

Da frage ich mich, wie groß ist die Platte, dass das Verschlüsseln so lange
dauert?

Wieso hat in der Zeit niemand eine Datei aus den Freigaben gebraucht und
bemekrtm dass sie nicht mehr lesbar ist?

Wieso nicht der Client selbst inzwischen so verschlüsselt ist, dass er
unbenutzbar ist und eine Erpressermeldung anzeigt.

Deine Erklärung klingt allerdings auch äußerst schlüssig.

-- 
Gruß Marcus
[eisfair-Team]