Comments 25
Я ничего не понимаю. Сколько себя помню — открывать доступ к портам самбы из интернета было плохой идеей. Когда это поменялось? Почему появилось столько машин с открытыми портами самбы, что это стало проблемой? Кто все эти люди, у которых самба «смотрит» в интернет?
Тут беда хуже — не только открыть порты и не обновляться, но и держать ресурс доступный на запись(!) в интернеты.
Про людей тоже согласен, что странно, но всякое бывает. Но уязвимость все равно опасная. Как вариант, можно заражаться с зараженной виндовой машины уже внутри сети.
большинство NAS-устройств запускают Samba и хранят очень ценные данные, тут основные возможные проблемы, если будет вирус-шифровальщик
Почему только NAS?
Идете в любой интернет-магазин, или скажем на Яндекс Маркет, открываете раздел маршрутизаторов или wi-fi, включаете галочку «USB-порт», и смотрите длинный список оборудования, к которому можно подключать диски. Там будут и NAS, и модемы, и медиа-плееры, и много чего еще.
И эти вопросы отпадают сами собой.
Эти люди — покупатели обычных магазинов, порты там открыты — потому что производитель прошляпил, поменялось это много лет назад — у меня первый такой домашний аппарат был еще в 2009 кажется.
Идете в любой интернет-магазин, или скажем на Яндекс Маркет, открываете раздел маршрутизаторов или wi-fi, включаете галочку «USB-порт», и смотрите длинный список оборудования, к которому можно подключать диски. Там будут и NAS, и модемы, и медиа-плееры, и много чего еще.
И эти вопросы отпадают сами собой.
Эти люди — покупатели обычных магазинов, порты там открыты — потому что производитель прошляпил, поменялось это много лет назад — у меня первый такой домашний аппарат был еще в 2009 кажется.
UFO just landed and posted this here
Напомню хайп с монго, его и вовсе без пароля наружу открывали. Идиоты, их просто много
Сегодня на хабре читать нечего, поэтому читаем статьи в стиле «голактеко в опасносте!».
Думаю, китайские камеры и умные выключатели.
Для тех кто в ubuntu и самбой не пользуется в принципе:
Есть немного радикальное решение
Проверить, что порт открыт:
Выключить сервис:
sudo netstat -aln4p | grep 445
Выключить сервис:
sudo service smbd stop
sudo systemctl disable smbd
Ага. А у меня в минте самба 4.3.11 вообще, и в синаптике новых версий не видно. И что делать? Извиняюсь за тупой вопрос, конечно
См. решение выше
Принципы создания non-exploitable конфигурации:
В первую очередь нужно закрыть для доступа из интернета порты используемые SMB и не привязывать самбу к интерфейсу напрямую доступному из интернета. Протоколу SMB в интернете нечего делать вообще, он там даже не маршрутизируется нормально. На серверах доступных только из интернета лучше вообще не устанавливать пакет samba, он там не нужен, а соответствующая функциональность реализуется с помощью sftp и openLDAP.
Во вторую очередь, оценить вероятность атаки из внутренней сети. Если это маленькая домашняя сеть внутри квартиры, состоящая из пары компьютеров, роутера и NAS — успокоиться и расслабиться, закрытие портов для доступа извне её достаточно защитит. Если это сеть офиса к которой имеют доступ много разных людей — лучше обновить самбу.
Если нет обновлённого пакета samba для вашего дистрибутива, придётся скачать патчи с https://www.samba.org/samba/history/security.html добавить в пакет с исходным кодом из дистрибутива и перекомпилировать. Также рекомендуется написать в багтрекер дистрибутива и связаться с разработчиками.
Если samba не используется в качестве контроллера домена, добавить в smb.conf следующую строку:
nt pipe support = no
Гостевой вход (без логина и пароля) в samba по умолчанию происходит под пользователем nobody для предотвращения утечки информации. Если вы добавляете пользователей samba, они должны быть непривилегированными. Не добавляйте туда root.
Обнаруженные сканированием уязвимые хосты в интернете — это 100% результат неправильной настройки, просто не повторяйте ошибок тех кто их настраивал и проблем не будет.
В первую очередь нужно закрыть для доступа из интернета порты используемые SMB и не привязывать самбу к интерфейсу напрямую доступному из интернета. Протоколу SMB в интернете нечего делать вообще, он там даже не маршрутизируется нормально. На серверах доступных только из интернета лучше вообще не устанавливать пакет samba, он там не нужен, а соответствующая функциональность реализуется с помощью sftp и openLDAP.
Во вторую очередь, оценить вероятность атаки из внутренней сети. Если это маленькая домашняя сеть внутри квартиры, состоящая из пары компьютеров, роутера и NAS — успокоиться и расслабиться, закрытие портов для доступа извне её достаточно защитит. Если это сеть офиса к которой имеют доступ много разных людей — лучше обновить самбу.
Если нет обновлённого пакета samba для вашего дистрибутива, придётся скачать патчи с https://www.samba.org/samba/history/security.html добавить в пакет с исходным кодом из дистрибутива и перекомпилировать. Также рекомендуется написать в багтрекер дистрибутива и связаться с разработчиками.
Если samba не используется в качестве контроллера домена, добавить в smb.conf следующую строку:
nt pipe support = no
Гостевой вход (без логина и пароля) в samba по умолчанию происходит под пользователем nobody для предотвращения утечки информации. Если вы добавляете пользователей samba, они должны быть непривилегированными. Не добавляйте туда root.
Обнаруженные сканированием уязвимые хосты в интернете — это 100% результат неправильной настройки, просто не повторяйте ошибок тех кто их настраивал и проблем не будет.
>> Обнаруженные сканированием уязвимые хосты в интернете — это 100% результат неправильной настройки
Как минимум спорно.
iptables -A INPUT -i enp3s0 -p tcp -m tcp --dport 445 -j TARPIT --tarpit
В принципе, весьма полезная вещь при массовом применении.
Как минимум спорно.
iptables -A INPUT -i enp3s0 -p tcp -m tcp --dport 445 -j TARPIT --tarpit
В принципе, весьма полезная вещь при массовом применении.
Ну и зачем же делать подобное? То что модуль Tarpit является по сути механизмом задержки ответов, то в чем суть этой подноготной, когда для не желательных мест, лучше закрыть доступ, чем оставить светящимися наружу «фрукт»… И выставлять себя и свои ресурсы мишенью для тех же злоумышленников, победить твой сервис хотя бы из спортивного интереса…
Модуль tarpit открывает соединение, не передаёт в него никакие данные и не закрывает по своей инициативе. Ресурсов на это тратится меньше чем на нормальное соединение, но всё равно больше чем если прописать -j DROP
Это не останавливает сканеры, потому что они выполняют TCP SYN сканирование открытых портов и подключаются в многопоточном режиме с интенсивностью 1-2 соединения в минуту (если было бы чаще — системы обнаружения атак среагировали бы на это как на флуд).
Ещё я обнаружил, что некоторые провайдеры блокируют порты 135, 137, 138, 139, 445, типа так борются с интернет-червями и паразитным трафиком.
Это не останавливает сканеры, потому что они выполняют TCP SYN сканирование открытых портов и подключаются в многопоточном режиме с интенсивностью 1-2 соединения в минуту (если было бы чаще — системы обнаружения атак среагировали бы на это как на флуд).
Ещё я обнаружил, что некоторые провайдеры блокируют порты 135, 137, 138, 139, 445, типа так борются с интернет-червями и паразитным трафиком.
Я не понял в чём польза.
Нормальные пользователи не заходят на 445 порт из интернета, только какие-то сканеры всё время ломятся. Включил лог — за 5 минут поймал несколько попыток, причём samba там не установлена.
Нормальные пользователи не заходят на 445 порт из интернета, только какие-то сканеры всё время ломятся. Включил лог — за 5 минут поймал несколько попыток, причём samba там не установлена.
а кто переводил текст?
имхо reverse shell лучше вообще не переводить…
это из серии корневого доступа :(
имхо reverse shell лучше вообще не переводить…
это из серии корневого доступа :(
Sign up to leave a comment.
Внимание! Хакеры начали использовать уязвимость «SambaCry» для взлома Linux-систем