Как можно бороться с шифровальщиками шары на сервере средствами Debian?

Самое правильное решение — не лезть в чужие личные шары.
Евросоюзовцы уже провели исследование и решили что права на шифрование и на анонимность должны быть такими же неотъемлимыми, как и права на жизнь и на дыхание.

COW. Реально удалять файлы через сутки.

да вирусы это шифруют, а не пользователи, вот в чем проблема, а шифруют они важное файло ((

спамфильтр на траффик? ктсти, тоже думал об этом

так и какой фильтр то? а если это какая нибудь файловая 1С работает или заливают чего нужное на сервак - например видео пишется

нее. человек, который работает с почтой. он же качает письма. может можно настроить clamav на распознание exe/jar/bat файлов из траффика? Какой смысл саму шару защищать, если угроза идёт из писем?

Можно смотреть на заголовки и считать энтропию. У зашифрованных файлов не будет заголовков и высокая энтропия + будет существовать файл с похожим именем который попытаются удалить после.

clamav на распознание exe/jar/bat

И что он там распознает? Шифровальщик не вирус - скорее всего ничего.

увы, не только из писем, да и безинтересны мне даже письма, ибо если бы был доступ к зараженной машине изначально, то тут другие способы имеются, интересно именно как запретить шифровать файлы на шаре

тебе ж сказано русским языком: exe и прочие запускаемые файлы, прикреплённые к письмам
, что тупишь?

darkenshvein

забудь, ты не в теме

1. поставить шару на RO
2. Запретить пользователю X запуск программ кроме. стандартное виндовс полиси.
3. раздать права на запись юзерам.

фс сама не может следить, шифруют ли на ней что-либо)

и чем это ты собрался считать энтроприю?

может пользователям, у которых был замечен вирус обрубать доступ на шару?

в какой теме?

типа оставить права на создание и чтение, но убрать права на редактирование (и удаление)?

msgascii

может, только как об этом узнать автоматически? для меня в первом приближении например хватило бы отрубать от шары всех, у кого нет антивиря, стоящий во всей сети, но это тоже не показатель
по хорошему бы вот как то отслеживать хэши папок что ли, если они начали активно меняться - банить, вообщем одни мысли

вопрос даже не КАК отрубить, а как ОПРЕДЕЛИТЬ И ОТРУБИТЬ АВТОМАТИЧЕСКИ, как это делается fail2ban!

а создать пароль на доступ к шаре? временно.
а потом пользователей, у которых комп сам ломиться будет, глянуть по логах.

по хорошему бы вот как то отслеживать хэши папок что ли, если они начали активно меняться - банить, вообщем одни мысли

ну в принципе неплохая идея

по-моему, ты думаешь не в ту сторону. оставь одну точку входа, которая будет rw, и как только файл залит - переноси его в ro. пока у вирусни есть права на редактирование файлов - ты будет гоняться с выпученными глазами за несознательными виндузятниками без всякого толку.

vostrik

да где вирус был я уже нашел, вопрос как в будущем защитить шары автоматом

readonly шары не шифруются? Если так, то это твое решение. Еще может запретить запись и изменение файлов (шары) для гостевого юзера.

Плохая идея. Если юзер сам начнёт менять кучу файлов - его забанит.

KillTheCat всё правильно сказал, единственный более менее надёжный способ - эвристика по mime и энтропии

Ну а антивирус поставить не судьба?

RTFM

«Авторизация и прочее это все понятно, но «гостевая» машина тем не менее получает доступ на запись» - что за анихея?! срочно разобраться с правами

бекап лучшая защита!

Сделай на сервере специальную папку и когда пользователь гостевой машины поместит в эту папку ярлык на файл,отбирай у samb'ы права на запись и изменение файла указанного в этом ярлыке,оставив только право на чтение,ну может разреши перемещать этот файл в пределах одной локальной fs.

На а остальные файлы надо бэкапить.

Как развитие этого варианта можно поделить типы файлов на три группы.
1)Запись нужна всегда
2)Запись нужна иногда
3)Запись нужна только при создании файла.

Файлы из 2 и 3 группы при закрытии после создания должны сразу переводится в ro.
При этом если надо отредактировать файл из второй группы то чтобы сделать егодоступным на него надо создать ярлык в специальной папке,ну или позвонить эникейщику.

Snapper+btrfs или просто бекапы.
В случае утери данных восстанавливать из бекапа/снапшота.

Nao
Snapper+btrfs

интересная штука, а в продакшн ее уже можно ставить?

но «гостевая» машина тем не менее получает доступ на запись» - что за анихея?! срочно разобраться с правами

Мухаха

Делай инкрементные бекапы. Хоть на хардлинках и rsync. Как минимум ежедневные, а лучше чаще. Дальше уже можно сделать скрипт, который будет обнаруживать шифровальщиков, сравнивая бекап и шару - еслиболее 1% файлов изменились - смс админу. В любом случае ты будешь спокоен, ведь даже если порченное файло попадёт в бекап у тебя остаются предыдущие бекапы.

запрети запуск всех исполняемых файлов на клиентских машинах, кроме как из указанных каталогов(GPO/SRP, AppLocker, на крайняк локальными политиками если не лень всех обойти), можно отключить службу шифрования на клиенских машинах либо запретить запись в файл %TEMP%pubring.gpg. Если предварительно положить (и защитить от изменения) известный вам ключ pubring.gpg, то в этом случае шифрование состоится, но известным ключом. Или не состоится (С).
Ну или как вариант предложенный Goury

Лучше всего от таких проблем помогает разогнать отдел кадров к собачим чертям и набрать нормальных кадровиков, фильтрующих неадекватов с переломами коры головного мозга.

Альтернативным вариантом могут быть внутренние курсы информационной грамотности, без сертификата об окончании которых сотрудники не допускаются ни до почты ни до компьютеров.
Ps: Сам недавно настрадался, спасли беки и своевременное обнаружение, потом неделю голову ломал как обезопаситься.

Все остальные методы значительно менее эффективны, т.к. решают не проблему, а только добавляют костылей к организации рабочего процесса, и не редко создают больше проблем чем решают. Особенно проблем в перспективе.

Сам недавно настрадался, спасли беки и своевременное обнаружение, потом неделю голову ломал как обезопаситься

Это как сюда попало?
Я этого не писал.

Это в самм низу должно было быть после цитаты

Всмысле я настрадался

да забудьте вы про бэкапы, есть они, да и все не забэкапишь, так же чушь про то что нужно делать на левых машинах тоже не порите - нет туда доступа, вообще не знаю откуда взялся, из дома насяльника принес, авторизовался на серваке и случилось горе - вроде русским языком пишу.

Ну и сё?
Насяльника провела диверсию.
Так бывает.
Пойми, прости, страдай и разгребай.

Единственный способ предотвратить диверсию насяльника — не иметь насяльника, способного на диверсию.

Правильное решение — не пользоваться шарами. Есть более вменяемые средства организовать рабочий процесс.

x3al

огласите весь список пожалуйста

Перенести на sql ?
smb заменить на nfs ? ftp o_O ?
ro на все чужое rw на владельца ?
каждому пользователю свой каталог монтировать

чет не пойму удалилось что ли пост мой как вариант - в корне шары создать «приманку», снять с нее хэш и раз в минуту проверять эти приманки, если что банить отдельный ип или сразу порт самбы

Перенести на sql ? smb заменить на nfs ? ftp o_O ?

а вы знаете толк в извращениях!

Для начала объясни, нафиг нужна шара.

Перекинуть (крупные) файлы от юзера A к юзеру B? Это делается проще: нужно место, куда может писать A и которое может читать B. Либо перекинуть любым другим механизмом, если файлы мелкие — вариантов полно.

Совместная работа? С шарами — мягко говоря странно выглядит: нужно заранее договариваться, кто редактирует в какое время. И для решения этой проблемы давно есть специализированные редакторы.

Расшарить что-то сделанное всем пользователям? Опять же, тут нужна не общая шара, а «шара» (на деле — хоть HTTP) автора. Которую остальные пользователи не могут писать.

А, на левых машинах ничего делать и не надо, их просто не должно быть(левых), или у тебя к шарам любой желающий может подключится по логину с паролем?

Купить антивирус, ввести правило отрезать рудименты, залить клеем usb.

нужна общая файло помойка на удаленном серваке и точка, все остальное демагогия, та же файловая 1С, а не клиент-серверная потому что дорого и некому обслуживать

есть еще одна более «правильная» идея использовать технологию NAC/NAP, но похоже линукс такого не умеет.

Бекапить содержимое шары, держать там какую-то fs с версионированием.

файловая 1С, а не клиент-серверная потому что дорого и некому обслуживать

Клиентов у базы сколько? Больше 10? Ну вот и жри что дают, страдай, чо

По теме - ФС с версионированием тебе уже посоветовали. BTRFS/ZFS в помощь - и обмазывайся тулзами для автоматизации работы со снапшотами