[opensuse-es] Como bloquear el renombrado, borrado masivo de ficheros en un servidor
Estoy "jartooooooo" de los dichosos cryptolocker y familia. Y lo malo que me los tengo que comer con patatas porque aqui no quieren poner medidas de seguridad mas estrictas. Asi que cuando ocurre a perder un dia y restaurar de copias. Y la pregunta es: ¿Algún método de bloquear el renombrado, copiado, borrado masivo de ficheros por parte de un PC y que lo bloquee? Saludos -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Wenas :) 2016-02-25 15:19 GMT+03:00 Francisco F. <admin-listas@satel-sa.com>:
Si utilizas ext[2|3|4], puedes usar el atributo de inmutabilidad: chattr +i <nombre_de_fichero/s> Evita tambien crear enlaces simbolicos. Para desactivarlo: chattr -i <nombre_de_fichero/s> Para mas info: man chattr ;) HTH Rafa -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 25/02/16 a las 14:34, Rafa Griman escribió:
Gracias, pero no me sirve. Son ficheros que deben estar a disposición de los usuarios para modificarlos. Los que deben estar protegidos ya esta asi. La idea es que si hay alguien (sea virus o persona) que quiera modificar por ejemplo mas de 40 ficheros por minuto se le corte la conexion. Esos 40 acabaran mal pero cortaremos el acceso al resto de ficheros saludos -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 2016-02-25 18:48, Francisco F. wrote:
¿En Linux? A ver, no entiendo. El cryptolocker funciona en Windows, no en Linux. Supongo que se trata de usuarios Windows usando un servidor Linux, mediante Samba. La respuesta es obvia: ¡migra los clientes a Linux! :-PPP ¿No? Pues migra el directorio exportado del servidor a btrfs, y usa snapshots agresivamente. Tienes acceso inmediato a versiones anteriores de los ficheros. Eso si, el disco debe ser un orden de magnitud mayor. Luego te inventas un proceso que vaya escaneando los ficheros que se escriben, en plan antivirus. Cuando detecte que los ficheros estén cifrados con cryptolocker, bloquea al usuario. -- Cheers / Saludos, Carlos E. R. (from openSUSE Leap 42.1 x86_64 (test)) -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El día 25 de febrero de 2016, 16:19, Carlos E. R. <robin.listas@telefonica.net> escribió:
Parece una interesante propuesta la de brtfs! A ver: Que opina Don Francisco? -- USA LINUX OPENSUSE QUE ES SOFTWARE LIBRE, NO NECESITAS PIRATEAR NADA Y NI TE VAS A PREOCUPAR MAS POR LOS VIRUS Y SPYWARES: http://www.opensuse.org/es/ Puedes visitar mi blog en: http://jerbes.blogspot.com.ar/ -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Hola :) 2016-02-25 22:19 GMT+03:00 Carlos E. R. <robin.listas@telefonica.net>:
Backups "de toda la vida"? O un rsync que restaure el fichero cada X tiempo si detecta que ha sido modificado o cifrado o lo que sea? Rafa -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 2016-02-26 06:32, Rafa Griman wrote:
Hola :)
2016-02-25 22:19 GMT+03:00 Carlos E. R. <>:
También, pero si no quieres enlentecer el sistema, mejor que vayan a parar a un segundo disco. A mi no me gusta btrfs, pero lo cierto es que su sistema de snapshots es ideal para esta situación. El problema es cómo detectar que un fichero ha sido cifrado. Creo que el Samba tiene ganchos para escanear ficheros cuando son copiados o escritos, porque es lo que usan los antivirus de sistema. Pero no sé como se accede. La cuestión es usar los ganchos para detectar el cifrado. O quizás haya un antivirus que detecte este tipo de cifrado. -- Cheers / Saludos, Carlos E. R. (from 13.1 x86_64 "Bottle" at Telcontar)
El 25/02/16 a las 20:19, Carlos E. R. escribió:
Sniiifffffff Mi ordenador y los servidores, y me puedo dar con un canto en los dientes. Aqui hay mucho ingeniero versado en todas las artes tecnicas del mundo que lo unico que saben decir cuando algo falla (practicamente fallos de hard): Con windows no pasa. Así que solo puedo defender mi pequeña parcela de influencia, el resto está betado.
Probé el sistema pero necesita un porron de disco duro de mas. En las pruebas que hice se me iba a un 25%, y actualmente solo paso de espacio libre un 15% y dura poco. Sin posibilidad de ampliar ni mejorar. Y lo malo que el sistema va para 10 años
El problema es que este mes han sido 3 distintos. ¿Alguna forma de detectar fichero cifrado? Otra que he intentado mirar es que con la pepelera de samba trate tambien los renombrados o modificados como si fueran borrados, un poco mas cutre que btrfs y demas, pero sin exito. En fin era a ver si alguien tenia algun as en la magan milagroso Porque la mayoría de las cosas que se proponen implican inversion y eso es una palabra prohibida Saludos -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 2016-02-26 09:30, Francisco F. wrote:
El 25/02/16 a las 20:19, Carlos E. R. escribió:
Juás. Con ingenieros de verdad pueden tener un punto de razón si necesitan herramientas comerciales que sólo existen en Windows. Pero por lo demás, todos conocemos petes horribles que sólo hace el Windows.
Así que solo puedo defender mi pequeña parcela de influencia, el resto está betado.
Sniff...
Pues entonces lo que dice Rafa: rsync frecuente, pero a disco aparte. Mira, hace poco leí que un hospital gordo en USA tuvo que pagar a los secuestradores por la clave de cifrado: habían perdido todo el sistema en red del hospital. Necesitas backups frecuentes si tienes ese peligro.
Yo ni idea, pero prueba con un fichero afectado: "file fichero". Igual algún antivirus lo detecta, pero son los ficheros de datos. Ah! Un truco puede ser comprobar si el tipo de fichero según la extensión coincide con el tipo detectado por "file". Si te dice "datos" en vez del que debe, canta.
Oh.
Pues no veo como escaparse de la inversión en al menos un disco... ¡Joer, es que les va la puta empresa en ello! Perdona los tacos, pero es que clama al cielo. O pagan algo de inversión, o pagan a los secuestradores. -- Cheers / Saludos, Carlos E. R. (from 13.1 x86_64 "Bottle" at Telcontar)
El día 26 de febrero de 2016, 5:30, Francisco F. <admin-listas@satel-sa.com> escribió:
Y la palabra "gasto", está permitida? De ultimas, compralo en cuotas, y pasalas como viaticos! Que tipos de archivos son los compartidos? Saludos -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 27/02/2016 a las 13:40, Pinguino Patagonico escribió:
Oyen esa palabra y les sale espuma por la boca
De ultimas, compralo en cuotas, y pasalas como viaticos!
Cerca de 11000€ es un poco dificil :)
Que tipos de archivos son los compartidos?
De todas clases, en uno de los virus he tenido que buscar los modificados por exclusion de las extensiones correctas, me han salido mas de 100. Este virus cifraba el fichero y le añadia de 2 a 4 cifras un doc podia quedar asi doc.rtgy o doc.gf saludos -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Hola :) 2016-02-25 20:48 GMT+03:00 Francisco F. <admin-listas@satel-sa.com>:
SELinux. Te permite un control mas fino de los ficheros. ACLs tambien pueden ser utiles. Defines quien puede o no acceder a los ficheros. Para eso se inventaron ambos ;) Pero puede ser muy pesado configurar (MHO). HTH Rafa -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 2016-02-26 06:31, Rafa Griman wrote:
Hola :)
Pero necesitas saber que usuario va a hacer los cambios. Yo supongo que es el mismo usuario que está sentado en la silla del Windows... El virus no va a usar uno propio. -- Cheers / Saludos, Carlos E. R. (from 13.1 x86_64 "Bottle" at Telcontar)
El 26/02/16 a las 10:10, Carlos E. R. escribió:
Y necesitas en alguien dos dedos de frente La orden es: ninguna restricción en los accesos a los datos para nadie. He estado mirando los vfs de samba https://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/VFS.html El de virus no veo claro que sirva para esto. El de papelera solo va para ficheros borrados El de shadow_copy, podría funcionar y hacer copias de los modificados peroooooooo necesita un volumen LVM, aaaggggg son unos cuantos días de hacer copias de un lado para otro con tanto dato. Algún programa de control de versiones, ¿alguno lo ha probado con samba? La única opción que puede ser factible es activar el audit, ya está (y alguno se ha tenido que ir con el rabo entre las piernas al ver los logs) y con fail2ban hacer algo. Ahora solo me queda intentar instalar el fail2ban, y si digo intentar es porque no se como irá con un sistema de hace muuuchos añoossss Gracias a todos y ya sabéis, si se os enciende la lucecita avisáis -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 On 2016-02-26 14:15, Francisco F. wrote:
El 26/02/16 a las 10:10, Carlos E. R. escribió:
On 2016-02-26 06:31, Rafa Griman wrote:
Juás.
Serviría si te puede detectar que un fichero ha sido encriptado. Pero mejor el shadow copy.
Aquí quizas puedas enganchar un script que detecte si un fichero ha sido enciptado de repente. Tendrías que hacertelo tú, claro.
Algún programa de control de versiones, ¿alguno lo ha probado con samba?
No... - -- Cheers / Saludos, Carlos E. R. (from 13.1 x86_64 "Bottle" (Minas Tirith)) -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.22 (GNU/Linux) iF4EAREIAAYFAlbQUaYACgkQja8UbcUWM1yj2AD8DQ9yArT9s1PkSIGde7/0Tp4N 1HL1Gfdiw2QRTjSL2RgA/iwCV+dpNekXWMZx3bb+XBEBcxy2cFLqSiyDjzPWyuTJ =zmG6 -----END PGP SIGNATURE----- -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Hola Francisco F. escribió:
No puedes intentar hacer algo en el cual todos pueden leer el fichero, pero si desea modificarlo tenga que poner una clave y su nombre de usuario, la clave la misma para todos, pero con un contador si un usuario hace más 3 o 5 cambios por minuto sea bloqueado. No se como llevar a cabo esto, pero sería lo que estarías buscando, ... creo. También podrías mirar los sistemas de control de versión, como GIT por ejemplo, estos están hechos para que muchos metan los garfios y poder ir a un lugar en particular siguiendo los cambios. Si tiene 10 años el sistema ya podrías indicar que el SMART del disco rígido pide recambio y que los capacitores de la placa madre se están reventando. Saludos, Alfredo -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 On 2016-02-27 03:08, Alfredo Jesús Delaiti wrote: Pero no es seguro que sea ese el patrón. Lo que hace ese virus o troyano es buscar todos los ficheros con cierta extensión y reescribirlos enteros. No necesita escribir varias veces el mismo fichero, sino una. - -- Cheers / Saludos, Carlos E. R. (from 13.1 x86_64 "Bottle" (Minas Tirith)) -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.22 (GNU/Linux) iF4EAREIAAYFAlbRbyMACgkQja8UbcUWM1xMZQD9G2xitevY++7wXwI0OPBdKko4 Xm0l8v1LoOkDnoZi98cA+gJ6/COVoDfJvbctbtin6zsAO8FlL11/DsWTEcXx9on9 =VP6m -----END PGP SIGNATURE----- -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 On 2016-02-27 03:08, Alfredo Jesús Delaiti wrote:
Pero no es seguro que sea ese el patrón. Lo que hace ese virus o troyano es buscar todos los ficheros con cierta extensión y reescribirlos enteros. No necesita escribir varias veces el mismo fichero, sino una. - -- Cheers / Saludos, Carlos E. R. (from 13.1 x86_64 "Bottle" (Minas Tirith)) -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.22 (GNU/Linux) iF0EAREIAAYFAlbRbyQACgkQja8UbcUWM1z80QD41BM6DEdeVozF05FYaAe+3jIn kCuAb0SIufryICwfsAEAls23qqqT5/7mxppIkzP63nHWkuL3KTXDtiQuZJuBwrk= =vbJI -----END PGP SIGNATURE----- -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Hola Carlos E. R. escribió:
Siguiendo mi idea, ¿como hace para identificarse como un usuario y poner la clave?. Tal vez no se entendió la idea, es que antes de poder modificar cualquier cosas siempre haya que identificarse, una o mil veces, pero siempre y una vez por cada documento. Saludos, Alfredo -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 29/02/16 a las 18:58, Alfredo Jesús Delaiti escribió:
Pufffff, eso es imposible. Ya me cuesta que cambien la contraseña una vez al año. Y mas de uno pregunta que porque tiene que meter la contraseña todos los días, como para pedirla mas veces. Lo de llevar un registro ya lo hago con la activación de audit de samba. Me falta procesarlo, quería poner fail2ban pero como el sistema es tan viejo no se como irá. Seguiré pensando (pero poco) Saludos -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Wenas :) 2016-03-01 11:05 GMT+03:00 Francisco F. <admin-listas@satel-sa.com>: [...]
ROFLMFHO ... Nunca dejaran de sorprenderme los usuarios. Preguntale que por que cierra la puerta de su [casa|coche] con llave todos los dias al salir ... Y yo que pensaba que lo habia escuchado todo ... Por lo menos me he echado unas risas :"D Aunque siento que tengas que aguantar eso ... :( Un abrazo (soporte moral y para dar animos ;) Rafa -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 2016-03-01 11:40, Rafa Griman wrote:
¡Que va! Yo sabía que Francisco iba a decir eso. No me ha sorprendido en absoluto. ;-) Conozco gente que usa el mismo pin de cuatro cifras para la tarjeta de crédito, correo, etc. -- Cheers / Saludos, Carlos E. R. (from 13.1 x86_64 "Bottle" at Telcontar)
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2016-02-25 a las 13:19 +0100, Francisco F. escribió:
Acabo de leer un enlace interesante sobre el tema: <http://blog.emsisoft.com/2016/01/01/meet-ransom32-the-first-javascript-ransomware/> En los comentarios dicen que cualquier "share" accesible desde el usuario atacado es vulnerable. O sea, que hay que tener cuidado de cómo se hacen los backups. Si están en un disco que el ordenador atacado puede escribir mediante Samba, puede también atacar el backup. - -- Saludos Carlos E. R. (desde 13.1 x86_64 "Bottle" en Telcontar) -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.22 (GNU/Linux) iEYEARECAAYFAlbc/vMACgkQtTMYHG2NR9WXzACfVFuKgLt3o6SDjLiHmBPnnCdH l0gAn1mfr98y8cawUbw5CZeUeInFheLW =L+SR -----END PGP SIGNATURE-----
El lun, 07-03-2016 a las 05:09 +0100, Carlos E. R. escribió:
Muy interesante el articulo y los comentarios. Saludos Lluis -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (8)
-
admin-listas -
Alfredo Jesús Delaiti -
Carlos E. R. -
Francisco F.
-
Juan Erbes -
lluis -
Pinguino Patagonico -
Rafa Griman