LINUX.ORG.RU
ФорумSecurity

Что нужно проделать на Debian 8.8, чтобы избавиться от Petya.A/Petya.C (Wanna Cry)?

 , ,


0

2

27 июня 2017 г. зарегистрирована масштабная хакерская вирусом (модификация нашумевшего в 2016 году шифровальщика-вымогателя Petya.A/Petya.C), который распространяется аналогично Wanna Cry.

Есть у меня VPS с ОС Debian 8, но которой была установлен cifs-utils (apt-get install -y cifs-utils), который включает в себя smbclient (как я понял, через него ко мне пролез этот вирус). Провайдер прислал письмо, в котором жалоба, что мой сервер учавствует в атаке.

Чтобы уничтожить вирус на 100%, я заказал у провайдера новую установку linux. После установки поднял VPN сервер, подключил несколько клиентов.

Также закрыл некоторые порты (21, 111, 135, 137, 138, 139, 445, 6851, 36082, 65448) командами 

iptables -A INPUT -p tcp --dport [PORT] -j DROP
iptables -A INPUT -p udp --dport [PORT] -j DROP

Но это не помогло, снова прислали письмо:

"We have indications that there was an attack from your server.
Please take all necessary measures to avoid this in the future and to solve the issue."

и вложение:

##############################################################################
#               Netscan detected from host  [ip_moego_servera]               #
##############################################################################

time                protocol src_ip src_port       	   dest_ip dest_port
------------------------------------------------------------------------------
Wed Jun 28 16:19:59 2017 TCP  [ip_moego_servera] 55347 =>     3.18.50.252 445  
Wed Jun 28 16:19:50 2017 TCP  [ip_moego_servera] 54469 =>   3.194.178.216 445  
Wed Jun 28 16:21:01 2017 TCP  [ip_moego_servera] 61533 =>    6.182.74.177 445  
Wed Jun 28 16:20:52 2017 TCP  [ip_moego_servera] 60583 =>    7.45.158.179 445  
Wed Jun 28 16:21:04 2017 TCP  [ip_moego_servera] 61829 =>    7.186.54.250 445  
Wed Jun 28 16:20:02 2017 TCP  [ip_moego_servera] 55675 =>    7.231.88.234 445  
			...
Wed Jun 28 16:19:46 2017 TCP  [ip_moego_servera] 54032 =>   209.72.63.231 445  
Wed Jun 28 16:21:00 2017 TCP  [ip_moego_servera] 61379 => 210.189.193.182 445

Вчера вечером я снова заказал у провайдера новую установку «Debian-88-jessie-64-LAMP». Абсолютно ничего на него не ставил. Сегодня утром с помощью команд tcpdump src port 445 и tcpdump dst port 445 увидел, что снова активно идет траффик по 445 порту. Получается что вирус остался...

Что нужно проделать на Debian 8.8, чтобы избавиться от Petya.A/Petya.C (Wanna Cry)?

AMT - enabled, unprovisioned. Локальное повышение привилегий?
Генерация Md5 rainbow tables по маске

1 2 3
Ответ на: комментарий от MrClon

И да, наличие VPN сервера выпускающего своих клиентов в интернет это деталь о которой стоило упомянуть гораздо раньше.

в самом верху написано же

После установки поднял VPN сервер, подключил несколько клиентов.

вот!

И эти клиенты ходят через этот VPN в интернет. Я пытался сформулировать эту мысль по саркастичней, но не получается: инфицирован один из компов использующих этот VPN, он участвует в атаке, с точки зрения остального мира это выглядит так как-будто атака идёт с твоего сервера.

как этого избежать?

pospelov
() автор топика
Ответ на: комментарий от Deleted

сначала утверждал что проблема появляется на чистом сервере

Он же сразу написал что есть VPN

После установки поднял VPN сервер, подключил несколько клиентов

no-such-file ★★★★★
()
Ответ на: комментарий от no-such-file

Вчера вечером я снова заказал у провайдера новую установку «Debian-88-jessie-64-LAMP». Абсолютно ничего на него не ставил. Сегодня утром с помощью команд tcpdump src port 445 и tcpdump dst port 445 увидел, что снова активно идет траффик по 445 порту.

Тогда я это неправильно понял.

Deleted
()
Ответ на: комментарий от Deleted

ТС, сначала утверждал что проблема появляется на чистом сервере. пусть подтвердит или опровергнет.

Сегодня утром с помощью команд tcpdump src port 445 и tcpdump dst port 445 увидел, что снова активно идет траффик по 445 порту.

Еще раз вкратце повторюсь!

первым был debian minimal + VPN + smb

потом я подцепил вирус, получил жалобу

потом я установил debian minimal + VPN сервер + закрыл порты (21, 111, 135, 137, 138, 139, 445, 6851, 36082, 65448) с помощью iptables + подключил VPN клиентов к своему VPN серверу

потом я снова подцепил вирус, получил жалобу

потом я установил debian LAMP

теперь пытаюсь разобраться в ситуации на этом форуме

pospelov
() автор топика
Ответ на: комментарий от Nicholass

... если к твоему серверу подключаются поVPN, не может ли он быть просто промеждуточным звеном?

может! как этого избежать?

pospelov
() автор топика
Ответ на: комментарий от Deleted

не пускать виндовых клиентов.

нельзя не пускать виндовых клиентов.

нужно придумать как «закрыть дырки» в сервере, чтобы виндовые Пети не пролазили через VPN. только вот как это сделать?

pospelov
() автор топика
Ответ на: комментарий от queen3

Такие

доступен ли сетевой диск на запись для неавторизованного пользователя

загруженный файл может быть исполнен в контексте процесса samba-сервера

А чтобы не оставлять лишних следов, он удаляется с диска, продолжая существовать и работать только в виртуальной памяти

Т.е. нужно быть дважды криворуким, и всё равно при перезагрузке сервера вирус перестанет работать.

no-such-file ★★★★★
()
Ответ на: комментарий от pospelov

чтобы виндовые Пети не пролазили через VPN. только вот как это сделать?

Много у тебя клиентов? Найди кто гадит и забань его.

no-such-file ★★★★★
()
Ответ на: комментарий от pospelov

Я не очень в курсе Петиных нюансов... А они не перебьются какое-то время без 445 порта по vpn, или к чему он там критичен

vaddd ★☆
()
Ответ на: комментарий от vaddd

Вот-вот закрыть на выход 135, 445 и что-то там ещё. Но если клиенты начнут массово сканировать 80 и 443 порты, то придётся банить клиентов.

Deleted
()
Ответ на: комментарий от no-such-file

... Найди кто гадит ...

как?

я же сюда пришел за тем, чтобы узнать что делать и как делать

pospelov
() автор топика
Ответ на: комментарий от Deleted

Вряд ли там массовое. Сначала закрыть, потом наиболее упорных ловить tcpдампом

vaddd ★☆
()
Ответ на: комментарий от no-such-file

Т.е. нужно быть дважды криворуким, и всё равно при перезагрузке сервера вирус перестанет работать.

«Это говорит о том, что ботнет устройств, трудящихся на благо злоумышленников, благополучно растет.»

Ну вот как-то так... число дважды криворуких явно больше 0.

queen3 ★★★★★
()

Сегодня утром с помощью команд tcpdump src port 445 и tcpdump dst port 445 увидел, что снова активно идет траффик по 445 порту.

я же правильно понял, что картина ниже говорит о подозрительном траффике на 445 порту?

root@Debian-88-jessie-64-LAMP ~ # tcpdump src port 445
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
15:26:57.638885 IP Debian-88-jessie-64-LAMP.microsoft-ds > 178.205.47.90.54926: Flags [R.], seq 0, ack 3283346194, win 0, length 0
15:26:58.197424 IP Debian-88-jessie-64-LAMP.microsoft-ds > 178.205.47.90.54926: Flags [R.], seq 0, ack 1, win 0, length 0
15:26:58.641686 IP Debian-88-jessie-64-LAMP.microsoft-ds > 45.77.79.59.vultr.com.58954: Flags [R.], seq 0, ack 311297874, win 0, length 0
15:26:59.281122 IP Debian-88-jessie-64-LAMP.microsoft-ds > 45.77.79.59.vultr.com.58954: Flags [R.], seq 0, ack 1, win 0, length 0
15:27:07.033766 IP Debian-88-jessie-64-LAMP.microsoft-ds > 211.102.90.199.50414: Flags [R.], seq 0, ack 56187656, win 0, length 0
й^C
5 packets captured
5 packets received by filter
0 packets dropped by kernel

root@Debian-88-jessie-64-LAMP ~ # tcpdump dst port 445
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
15:27:36.818730 IP redayhost.com.62754 > Debian-88-jessie-64-LAMP.microsoft-ds: Flags [S], seq 463707649, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
15:27:37.471249 IP redayhost.com.62754 > Debian-88-jessie-64-LAMP.microsoft-ds: Flags [S], seq 463707649, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
15:27:52.483958 IP 128-72-45-107.broadband.corbina.ru.52451 > Debian-88-jessie-64-LAMP.microsoft-ds: Flags [S], seq 2027415972, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
15:27:53.030930 IP 128-72-45-107.broadband.corbina.ru.52451 > Debian-88-jessie-64-LAMP.microsoft-ds: Flags [S], seq 2027415972, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
15:27:56.825111 IP 46-119-131-106.broadband.kyivstar.net.53308 > Debian-88-jessie-64-LAMP.microsoft-ds: Flags [S], seq 517964763, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
15:27:57.354393 IP 46-119-131-106.broadband.kyivstar.net.53308 > Debian-88-jessie-64-LAMP.microsoft-ds: Flags [S], seq 517964763, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
^C
6 packets captured
6 packets received by filter
0 packets dropped by kernel

так? или нет?

pospelov
() автор топика
Ответ на: комментарий от pospelov

В гугель : ipyables block output ports
По второму вопросу - tcpdump
Когда юзеров много, то лучше настроить suricata + ELK, например, чтоб удобно было смотреть пакостников.

Deleted
()
Ответ на: комментарий от pospelov

Чтоб было более удобно банить, советую openvpn с личными клиентскими сертефикатми и ведением ipp.txt.

Deleted
()
Ответ на: комментарий от Deleted

Вот-вот закрыть на выход 135, 445 и что-то там ещё. Но если клиенты начнут массово сканировать 80 и 443 порты, то придётся банить клиентов.

Мне не очень понятен один вопрос. Как впс провайдер узнаЁт, что от ТС идет атака? по активности на 445 порту? Как он тогда узнает что атака продолжается, если она продолжится например по 80?

vaddd ★☆
()
Ответ на: комментарий от vaddd

У большинства хостеров просто срабатывают триггеры на перебор портов, одновременное открытие нескольких портов по разным адресам и т.п. Много ложноположительных срабатываний, но всем плевать.

Deleted
()
Ответ на: комментарий от vaddd

Как впс провайдер узнаЁт, что от ТС идет атака? по активности на 445 порту?

когда провайдер видит, что мой комп стучится на кучу компов в Китае, Индонезии и т. д. на 445 порт, это как минимум подозрительно...

Как он тогда узнает что атака продолжается, если она продолжится например по 80?

в данной ситуации вирус пользуется уязвимостью smb протокола, который по умолчанию на 445 порту, а не на 80

pospelov
() автор топика
Ответ на: комментарий от Deleted

Да, согласен, петя же должен искать жертву везде где можно. Тогда в самом деле, заблочить весь проходной двор по максимуму а потом понемногу выпускать клиентов с надзором трафика.

vaddd ★☆
()

Годная толстота поменяй пароль root и запрети root доступ по ssh

Jopich1
()
Ответ на: комментарий от pospelov

в данной ситуации вирус пользуется уязвимостью smb протокола, который по умолчанию на 445 порту, а не на 80

Я так понял что по smb протоколу он распространяется, а заражается по любому из. Тогда 445-го вам хватит чтобы просто успокоить для начала своего хостера, а потом разбираться не торопясь

vaddd ★☆
()

Wed Jun 28 16:19:59 2017 TCP [ip_moego_servera] 55347 => >3.18.50.252 445

так заблокируйте 445 порт для vpn
проверяйте, что там у вас в правилах файрвола (iptables -L) нагорожено

anonymous
()
Ответ на: комментарий от Deleted

советую openvpn с личными клиентскими сертефикатми и ведением ipp.txt.

openvpn это хорошо, но требует установки ПО для него клиентам. использую его в других целях на других системах

pospelov
() автор топика
Ответ на: комментарий от anonymous

так заблокируйте 445 порт для vpn

Делал так:

iptables -A INPUT -p tcp --dport 445 -j DROP
iptables -A INPUT -p udp --dport 445 -j DROP

не прокатило, значит вот так: 

iptables -A INPUT -p tcp --dport 445 -j DROP
iptables -A INPUT -p udp --dport 445 -j DROP

iptables -A OUTPUT -p tcp --dport 445 -j DROP
iptables -A OUTPUT -p udp --dport 445 -j DROP
поможет?

я Вас правильно понял?

pospelov
() автор топика
Ответ на: комментарий от pospelov

не правильно. блокируй порты в цепочке FORWARD, тогда клиенты vpn не смогут ломиться на эти порты в окружающий мир

Deleted
()
Ответ на: комментарий от Deleted

блокируй порты в цепочке FORWARDблокируй порты в цепочке FORWARD

iptables -A FORWARD -p tcp --dport 445 -j DROP
iptables -A FORWARD -p udp --dport 445 -j DROP

так?

pospelov
() автор топика
Ответ на: комментарий от pospelov

да, почитать не помешает
однако будет полезнее почитать man iptables и man iptables-extensions
а сейчас стоит сделать 

iptables -A FORWARD -p tcp --dport 445 -j DROP
iptables -A FORWARD -p udp --dport 445 -j DROP
так как вряд ли vpn поднимался ради самбы

Deleted
()
Ответ на: комментарий от pospelov

да и вообще наверно имеет смысл выпускать только 80 и 443.

Deleted
()
Ответ на: комментарий от pospelov

накатывал такую (см. выше) но посте установки VPN сервера и подключения к нему клиентов - снова пришла жалоба...

А если виндос-клиенты не подключать, жалобы есть?

imul ★★★★★
()
Ответ на: комментарий от Deleted

Знаю такого товарища, у которого пароли рута сперли.

int13h ★★★★★
()
Последнее исправление: int13h (всего исправлений: 1)

Ребят, а можно ли заразиться, если samba установлен и запущен, но все вх. порты относящиеся к самбе закрыты?

rumgot ★★★★★
()

Вот была таже фигня, прешлось все перепиливать с одной штукой. Поставь Обновление для Samba вручную

q13
()
Ответ на: комментарий от q13

Можно

... а можно ли заразиться, если samba НЕ устанавливался после установки ОС + все порты относящиеся к самбе закрыты?

pospelov
() автор топика

После установки поднял VPN сервер, подключил несколько клиентов.

Действительно, откуда?

Anoxemian ★★★★★
()

Здравствуйте!

Интересно, а что пишут антивирусы rkhunter и ClamAV? :-)

anonymous
()

Здравствуйте!

Топикстартера или посадили в тюрьму или выгнали с работы. Одно из двух... :-)

anonymous
()
Ответ на: комментарий от pospelov

Ты не в курсе, через какую уязвимость ломают? Предыдущая была датирована мартом 2017 года. А то у меня системы обновлены в мае, вдруг уязвимы?

ZenitharChampion ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2 3
AMT - enabled, unprovisioned. Локальное повышение привилегий?
Security
Генерация Md5 rainbow tables по маске