Комментарии 25
Я ничего не понимаю. Сколько себя помню — открывать доступ к портам самбы из интернета было плохой идеей. Когда это поменялось? Почему появилось столько машин с открытыми портами самбы, что это стало проблемой? Кто все эти люди, у которых самба «смотрит» в интернет?
Тут беда хуже — не только открыть порты и не обновляться, но и держать ресурс доступный на запись(!) в интернеты.

Про людей тоже согласен, что странно, но всякое бывает. Но уязвимость все равно опасная. Как вариант, можно заражаться с зараженной виндовой машины уже внутри сети.

большинство NAS-устройств запускают Samba и хранят очень ценные данные, тут основные возможные проблемы, если будет вирус-шифровальщик
Почему только NAS?

Идете в любой интернет-магазин, или скажем на Яндекс Маркет, открываете раздел маршрутизаторов или wi-fi, включаете галочку «USB-порт», и смотрите длинный список оборудования, к которому можно подключать диски. Там будут и NAS, и модемы, и медиа-плееры, и много чего еще.

И эти вопросы отпадают сами собой.

Эти люди — покупатели обычных магазинов, порты там открыты — потому что производитель прошляпил, поменялось это много лет назад — у меня первый такой домашний аппарат был еще в 2009 кажется.
НЛО прилетело и опубликовало эту надпись здесь
Напомню хайп с монго, его и вовсе без пароля наружу открывали. Идиоты, их просто много
Сегодня на хабре читать нечего, поэтому читаем статьи в стиле «голактеко в опасносте!».

Ну как же. Чтобы включить свет — заливаешь на выключатель презентацию в PowerPoint.

"Загрузите картинку для изменения положения шлагбаума"?

Для тех кто в ubuntu и самбой не пользуется в принципе:
Есть немного радикальное решение
Проверить, что порт открыт:
sudo netstat -aln4p | grep 445

Выключить сервис:
sudo service smbd stop
sudo systemctl disable smbd
Если самба не используется в принципе, ещё радикальнее:

sudo apt-get remove --purge samba

Или под redhat

rpm -e samba
Ага. А у меня в минте самба 4.3.11 вообще, и в синаптике новых версий не видно. И что делать? Извиняюсь за тупой вопрос, конечно
Да, спасибо, я его видел, но мне самба нужна для внутренней сети. А это решение ее вырубает под корень (если я правильно понял, конечно).

Странно, что они не втащили из ubuntu апдейт. Да и на сервере mint выглядит очень подозрительно. Всегда, конечно, можно подключить соответствующий backports из debian'а и обновить пакет. Есть шанс развалить систему, если backports будут не от той версии.

Принципы создания non-exploitable конфигурации:

В первую очередь нужно закрыть для доступа из интернета порты используемые SMB и не привязывать самбу к интерфейсу напрямую доступному из интернета. Протоколу SMB в интернете нечего делать вообще, он там даже не маршрутизируется нормально. На серверах доступных только из интернета лучше вообще не устанавливать пакет samba, он там не нужен, а соответствующая функциональность реализуется с помощью sftp и openLDAP.

Во вторую очередь, оценить вероятность атаки из внутренней сети. Если это маленькая домашняя сеть внутри квартиры, состоящая из пары компьютеров, роутера и NAS — успокоиться и расслабиться, закрытие портов для доступа извне её достаточно защитит. Если это сеть офиса к которой имеют доступ много разных людей — лучше обновить самбу.

Если нет обновлённого пакета samba для вашего дистрибутива, придётся скачать патчи с https://www.samba.org/samba/history/security.html добавить в пакет с исходным кодом из дистрибутива и перекомпилировать. Также рекомендуется написать в багтрекер дистрибутива и связаться с разработчиками.

Если samba не используется в качестве контроллера домена, добавить в smb.conf следующую строку:

nt pipe support = no

Гостевой вход (без логина и пароля) в samba по умолчанию происходит под пользователем nobody для предотвращения утечки информации. Если вы добавляете пользователей samba, они должны быть непривилегированными. Не добавляйте туда root.

Обнаруженные сканированием уязвимые хосты в интернете — это 100% результат неправильной настройки, просто не повторяйте ошибок тех кто их настраивал и проблем не будет.
>> Обнаруженные сканированием уязвимые хосты в интернете — это 100% результат неправильной настройки

Как минимум спорно.
iptables -A INPUT -i enp3s0 -p tcp -m tcp --dport 445 -j TARPIT --tarpit
В принципе, весьма полезная вещь при массовом применении.
Ну и зачем же делать подобное? То что модуль Tarpit является по сути механизмом задержки ответов, то в чем суть этой подноготной, когда для не желательных мест, лучше закрыть доступ, чем оставить светящимися наружу «фрукт»… И выставлять себя и свои ресурсы мишенью для тех же злоумышленников, победить твой сервис хотя бы из спортивного интереса…
Модуль tarpit открывает соединение, не передаёт в него никакие данные и не закрывает по своей инициативе. Ресурсов на это тратится меньше чем на нормальное соединение, но всё равно больше чем если прописать -j DROP

Это не останавливает сканеры, потому что они выполняют TCP SYN сканирование открытых портов и подключаются в многопоточном режиме с интенсивностью 1-2 соединения в минуту (если было бы чаще — системы обнаружения атак среагировали бы на это как на флуд).

Ещё я обнаружил, что некоторые провайдеры блокируют порты 135, 137, 138, 139, 445, типа так борются с интернет-червями и паразитным трафиком.
Я не понял в чём польза.

Нормальные пользователи не заходят на 445 порт из интернета, только какие-то сканеры всё время ломятся. Включил лог — за 5 минут поймал несколько попыток, причём samba там не установлена.
а кто переводил текст?
имхо reverse shell лучше вообще не переводить…
это из серии корневого доступа :(
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Информация

Дата основания
2009
Местоположение
Россия
Сайт
www.cloud4y.ru
Численность
31–50 человек
Дата регистрации

Блог на Хабре