[Eisfair] samba spamt messages-log (2) ACHTUNG WICHTG!
Jürgen Pfautsch
newsreply6 at clubeckstein.de
So Sep 11 12:22:56 CEST 2022
"Olaf Jaehrling" schrieb im Newsbeitrag
news:tfitdu$vo1$1 at vm-news.spline.inf.fu-berlin.de...
[...]
> Du hast BFB installiert und die Variable BFB_MONITOR_CRYPTOTROJANER auf
> yes gesetzt?
jepp
> Wenn ja hast du vermutlich auch die Doku dazu gelesen und die
> entsprechenden Änderungen in der /etc/smb.conf gemacht?
jepp
> Zumindest sieht es danach aus.
latürnich
> Irgendwas versucht hier deine Daten zu ändern, bzw schreibt massiv auf
> deine Festplatte!
> Bitte prüfe, ob du dir nicht einen Crypto eingefangen hast.
Das beträfe dann seit Mai ca. 5-6 Laptops im Netzwerk, bei denen aber selbst
keine Probleme gemeldet wurden.
Sollte so ein Trojaner nicht auch die Windows-Dateien verschlüsseln?
> Das nur ganz schnell. Mehr später!
bfb hatte ich auch im Visier, aber nichts passendes gefunden ...
Auf meinem zweiten Eis gibt es ein ähnliche Phänomen:
Sep 4 17:58:25 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|statvfs|ok|
Sep 4 17:58:25 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|stat|ok|/Daten
Sep 4 17:58:25 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|fs_capabilities|ok|
Sep 4 17:58:25 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|chdir|ok|chdir|/Daten
Sep 4 17:58:25 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|stat|ok|/Daten
Sep 4 17:58:25 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|file_id_create|ok|2069:2:0
Sep 4 17:58:25 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|getwd|ok|/Daten
Sep 4 17:58:25 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|file_id_create|ok|2069:2:0
Sep 4 17:58:25 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|stat|ok|/Daten
Sep 4 17:58:25 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|stat|ok|/Daten
Sep 4 17:58:25 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|file_id_create|ok|2069:2:0
Sep 4 17:58:25 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|stat|ok|/Daten
Sep 4 17:58:25 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|realpath|ok|/Daten
Sep 4 17:58:25 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|connectpath|ok|/Daten
Sep 4 17:58:25 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|openat|ok|r|/Daten
Sep 4 17:59:32 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|telldir|ok|
Sep 4 17:59:32 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|readdir|ok|
Sep 4 17:59:32 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|telldir|ok|
Sep 4 17:59:32 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|readdir|ok|
Sep 4 17:59:32 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|telldir|ok|
Sep 4 17:59:32 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|readdir|ok|
Sep 4 17:59:32 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|telldir|ok|
Sep 4 17:59:32 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|readdir|ok|
Sep 4 17:59:32 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|telldir|ok|
Sep 4 17:59:32 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|readdir|ok|
Sep 4 17:59:32 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|telldir|ok|
Sep 4 17:59:32 eis2 smbd:
IP=192.168.1.71|USER=xxx|MACHINE=wz-w10|VOLUME=Daten|readdir|ok|
Aber halt nur ähnlich, auf Dateien wird hier nicht zugegriffen.
Logs ähnlich von allen drei Maschinen, die auf die Freigabe zugreifen.
Danke
Jürgen
Mehr Informationen über die Mailingliste Eisfair