Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.
Vaše pomoc je stále potřeba!

Autor Téma: Soubory napadené virem - jak na ně?  (Přečteno 12349 krát)

Bari

  • Návštěvník
  • Příspěvků: 62
Soubory napadené virem - jak na ně?
« kdy: 30 Října 2009, 01:01:22 »
Zdravím.

Mám takový nepříjemný problém. Mám doma svůj miniserver, který slouží primárně jako úložiště dat. Nainstalovaný tam mám Ubuntu 9.04 (v nejbližší době budu aktualizovat na 9.10). Na něm běží Samba (není přístupná z internetu, pouze po místní síti), Transmission, SSH, FTP (PROFTPD). Problém je ten, že mi server napadl vir. Systému se to samozřejmě nedotklo, ale mám napadených docela dost souborů (exe soubory). A vzhledem k tomu, že ty soubory potřebuju používat a přesouvat i na PC s Windows, tak je to celkem problém. ESET bežící na mém stolním PC (Windows) vir detekoval jako Tenga.gen virus a zablokoval spojení.

Takže se ptám, co teď s tím? Napadené soubory můžu smazat a znovu nakopírovat, to není problém, ale do budoucna to nic neřeší. Jak se co nejúčinněji chránit na Ubuntu proti takovým problémům? Nějaký antivir nebo ještě lépe třeba balík i s firewallem? Vím, že pro linux je AVG a Avast, ale oba dva jsou spíše zatracovány. Klidně si nějakou ochranu zaplatím, pokud bude roční licence do 1000 Kč, ale já nevím, po čem sáhnout.

Díky za rady :)
« Poslední změna: 21 Listopadu 2009, 23:01:56 od kiklhorn »

Martin Kiklhorn

  • Člen občanského sdružení Ubuntu ČR a placené komunitní podpory
  • Administrátor fóra
  • Závislák
  • ******
  • Příspěvků: 4807
  • グーグル!ご存知ですか?
    • HEJ
« Poslední změna: 30 Října 2009, 01:05:36 od kiklhorn »
Jsou ve vašem dotazu OPRAVDU VŠECHNY vám dostupné informace o problému?
Linux user since 2007-10-11, Registered #456007
Virtual
| Distribuce
~/slozka znamená /home/"vase jmeno"/slozka
6521 69DE 0F34 FCBC FB1D  DE76 360E 52B2 F71A B8E8

Bari

  • Návštěvník
  • Příspěvků: 62
Re: Soubory napadené virem - jak na ně?
« Odpověď #2 kdy: 30 Října 2009, 11:44:18 »
To jsem si našel už dřív, přečetl, ClamAV nainstaloval, ale pak jsem ho nikde v PC nenašel.

Navíc to IMHO řeší můj problém jen dočasně, protože ClamAV nemá rezidentní ochranu (jako snad žádný antivir na Linux), takže si sice proskenuju PC, smažu viry a můžu jen čekat, kdy se mi tam zase objeví. Smazat viry není problém, spíš bych potřeboval radu, jak se proti nim na Linuxu bránit.

Martin Kiklhorn

  • Člen občanského sdružení Ubuntu ČR a placené komunitní podpory
  • Administrátor fóra
  • Závislák
  • ******
  • Příspěvků: 4807
  • グーグル!ご存知ですか?
    • HEJ
Re: Soubory napadené virem - jak na ně?
« Odpověď #3 kdy: 30 Října 2009, 12:19:21 »
clamav jsou v základu antivirové knihovny, ty jsou využívané dalšími programy které můžete svázat s kontrolou mailu, ftp, www proxy, filesystémem, sambou...
Podívejte se co máte k dispozici v systému
Kód: [Vybrat]
apt-cache search clamav a na další na http://www.clamav.net/download/third-party-tools/
Jsou ve vašem dotazu OPRAVDU VŠECHNY vám dostupné informace o problému?
Linux user since 2007-10-11, Registered #456007
Virtual
| Distribuce
~/slozka znamená /home/"vase jmeno"/slozka
6521 69DE 0F34 FCBC FB1D  DE76 360E 52B2 F71A B8E8

Iljusin

  • Aktivní člen
  • *
  • Příspěvků: 347
Re: Soubory napadené virem - jak na ně?
« Odpověď #4 kdy: 30 Října 2009, 12:44:05 »
Červi potřebují ke své činnosti nezabezpečené Windows připojené do sítě, pak napadají exe soubory na síťových úložištích. Konkrétně na tenga.gen však už je snad tři roky vydaná záplata která je v automatických updatech Windows. Když si však někdo ve Windows chytře updaty zakáže (zřejmě aby si náhodou nenainstaloval Kontrolu ověření pravosti) tak se pak nesmí divit ;) Obecně jinak platí, že proti červům v síti můžeš bojovat dobře nastaveným firewallem.

Bari

  • Návštěvník
  • Příspěvků: 62
Re: Soubory napadené virem - jak na ně?
« Odpověď #5 kdy: 30 Října 2009, 15:14:00 »
Nelegální Windows opravdu nemám a ani jsem nikdy neměl. Vzhledem k tomu, že mám v rámci školy přístup na MSDNAA, nemám důvod mít nelegální Windows. Aktualizace mám zapnuté, všechny instaluju.

Na jiném fóru mi bylo řečeno, že ty viry se tam můžou dostat přes nějakou díru v FTP protokolu, která je na Ubuntu stále neopravená. Je na tom něco pravdy?

NoWin

  • Host
Re: Soubory napadené virem - jak na ně?
« Odpověď #6 kdy: 30 Října 2009, 22:21:59 »
Nelegální Windows opravdu nemám a ani jsem nikdy neměl. Vzhledem k tomu, že mám v rámci školy přístup na MSDNAA, nemám důvod mít nelegální Windows. Aktualizace mám zapnuté, všechny instaluju.

Na jiném fóru mi bylo řečeno, že ty viry se tam můžou dostat přes nějakou díru v FTP protokolu, která je na Ubuntu stále neopravená. Je na tom něco pravdy?
Pokud je mi známo, klasický FTP je děravý odjakživa, prostě není nijak pořádně zabezpečený. Zkus použít SFTP (zabezpečeno pomocí SSL/TLS)

Bari

  • Návštěvník
  • Příspěvků: 62
Re: Soubory napadené virem - jak na ně?
« Odpověď #7 kdy: 30 Října 2009, 23:07:14 »
Asi to bude nutné. Původně jsem to nechtěl kvůli přístupu přes webový prohlížeč, navíc ani Total Commander pro Windows v základu neumí SSL spojení, ale vypadá to, že to bude asi nejlepší řešení. Doufám, že PROFTPD umí vyžadovat zabezpečené spojení.

Bari

  • Návštěvník
  • Příspěvků: 62
Re: Soubory napadené virem - jak na ně?
« Odpověď #8 kdy: 01 Listopadu 2009, 17:37:07 »
Pokud je mi známo, klasický FTP je děravý odjakživa, prostě není nijak pořádně zabezpečený. Zkus použít SFTP (zabezpečeno pomocí SSL/TLS)

Mohl by jsi mi, prosím, doporučit nějakou vhodnou aplikaci pro SFTP server? PROFTPD to bohužel neumí :(

Iljusin

  • Aktivní člen
  • *
  • Příspěvků: 347
Re: Soubory napadené virem - jak na ně?
« Odpověď #9 kdy: 01 Listopadu 2009, 18:10:00 »
Asi to bude nutné. Původně jsem to nechtěl kvůli přístupu přes webový prohlížeč, navíc ani Total Commander pro Windows v základu neumí SSL spojení, ale vypadá to, že to bude asi nejlepší řešení. Doufám, že PROFTPD umí vyžadovat zabezpečené spojení.
Čoveče. Když máš ve Windows openssl, tak Total Commander SFTP umí. A tutok návod jak na proftpd se SSL: http://baz.bluedot.cz/2007/07/02/proftpd-ssl-howto/

Bari

  • Návštěvník
  • Příspěvků: 62
Re: Soubory napadené virem - jak na ně?
« Odpověď #10 kdy: 01 Listopadu 2009, 20:13:15 »
Díky za návod, ale bohužel mi to nejde podle toho návodu nainstalovat. U bodu MAKE mi to vyhodí chybu
Citace
support.c:50:29: error: openssl/crypto.h: No such file or directory
make[1]: *** [support.o] Error 1
make[1]: Leaving directory 'home/bari007/proftpd-1.3.2b/src'
make: *** [src] Error 2
Pokud u ./configure vynechám tu insalaci modulu tls, tak všechno proběhne bez chyb.

Nemá náhodou ta verze 1.3.3rc2 v sobě už šifrování? Když jsem se koukal na changelog, tak bych řekl, že má. Ale když jsem tu verrzi chtěl nainstalovat podle toho tvýho návodu, akorát bez instalace modulu tls, tak se to sice nainstalovalo, ale bez grafickýho rozhraní a já vůbec nevím, kde mám hledat nějakej ten konfigurák, abych zjistil, jestli tam něco o SSL je.

Armus69

  • Aktivní člen
  • *
  • Příspěvků: 297
    • http://www.netlancers.cz
Re: Soubory napadené virem - jak na ně?
« Odpověď #11 kdy: 04 Listopadu 2009, 18:51:36 »
Ahoj, přijde mi , že za tohle ubuntu moc nemůže
1.  pokud je ftp otevřeno jen do tvé sítě   je problém ve win na tvé síti , krádeže ftp accountů z totalcommandera je stará věc už několik let, = nepracovat jako Administrator, netahat cracky do her a app.
2.  pokud je otevřeno do světa  tak jedině SFTP, ale i tak bych to nedělal
3. ja to řeším VPN na domací router  a z venku vše zakázáno. Takže se kdykoliv přes VPN dostanu na domácí fileserver i webserver data.
4. Koukni do /var/log/(FTPLOG)  = pomocí grepu najdi kdo jak a kdy poslal nebo modifikoval ten soubor a tím najdeš i utočníka.

  ale opravdu bych ti radil to cely zavřít a z venku lézt přes VPN pokud je potřeba, pokud ne, tak na FW to zaříznout úplně nebo jen na určité IP ( práce, škola, atd.)

 Chraň ubuntu před winzombies.

k té kompilaci ti chybějí ssl-dev balíky
    skus tohle "apt-get install libssl-dev libcurl4-openssl-dev" nebo pohledej další  třeba na packages.ubuntu.com   nebo pomocí apt-cache search ssl
« Poslední změna: 04 Listopadu 2009, 20:24:12 od Armus69 »
jabber:  Armus69@jabber.cz

Bari

  • Návštěvník
  • Příspěvků: 62
Re: Soubory napadené virem - jak na ně?
« Odpověď #12 kdy: 07 Listopadu 2009, 14:29:40 »
Díky za výbornou radu, pomohlo to a úspěšně jsem nainstaloval mod_tls do proftpd :)

ad 1) FTP je otevřené i do internetu. O problému TotalCMD samozřejmě vím, nepoužívám ho a ani nikdo jiný, kdo má přístup na FTP ho nepoužívá. Hry nehraju, cracky nestahuju, jsem docela přísný odpůrce warezu :)
ad 2) Je otevřené do světa a FTP bohužel potřebuju. Proto jsem se snažil tam rozběhat to zabezpečení :)
ad 3) VPN by pro mě bylo řešením, bohužel ne už pro další lidi, kteří na server také přistupují :(

Povolit jen určité IP není bohužel možné. Na privatu mám dynamickou IP, ve škole máme taky několik různých IP. Navíc se tam dost často připojuji i z mobilního internetu, kde samozřejmě pokaždé dostanu jinou IP. Musel bych povolovat celé rozsahy a to už poté ztrácí smysl.


Ale jinak ještě jednou díky za velmi dobré rady a připomínky ;)

Armus69

  • Aktivní člen
  • *
  • Příspěvků: 297
    • http://www.netlancers.cz
Re: Soubory napadené virem - jak na ně?
« Odpověď #13 kdy: 07 Listopadu 2009, 18:43:53 »
 Ahoj , jsem rád, že to pomohlo, vždy když chybí *.h  jsou to *-dev balíky.  
  K problému:  proto bych VPN viděl právě jako celkem vhodnou, mnoho připojení z různých míst, výhoda VPN je i průchod přes shaping.
  ad víc lidí -  právě proto , vytvoříš vpn učet pro sebe pár pro určité lidi (stejně jim děláš ftp účty), nebo pak hromadný pub account na to stačí jednoduché pptpd co funguje s linuxem tak s win je na klientu nastaveno za 2 minuty.
                   Pak zavřeš dveře, díra tedy bude jen jedna a tu už celkem jednoduché ohlídat.
                   Myslím, že odpor by se dal zvládnout prostým vysvětlením problému a pravidel co jsou potřeba udělat.
     Pod VPN by pak byla i možnost sdílet přímo data přes sambu nebo NFS mountovat to rovnou jako remote disk. jednoduché a super řešení
    Ono se to totiž netýká jen TC ale mnoha jiných, navíc FTP porty jsou často pod BrutalForce (více méně nonstop) utokem, tak bych doporučil jít na jinej port než je default, sice to není nijak zvlášť sofistikovaná securita,ale alespon jsou čistší logy.

« Poslední změna: 07 Listopadu 2009, 19:19:36 od Armus69 »
jabber:  Armus69@jabber.cz

Bari

  • Návštěvník
  • Příspěvků: 62
Re: Soubory napadené virem - jak na ně?
« Odpověď #14 kdy: 07 Listopadu 2009, 21:58:41 »
Z VPNka mám obavy :( Sám nevím, jak to nastavit na serveru a ani nevím, jak bych to pak nastavoval u sebe. Navíc bych musel nejspíš objet všechny své přátele, kteří mají přístup na FTP a ručně jim to nastavit, protože poté, co jsem jedné kamarádce víc než hodinu po ICQ vysvětloval, jak pingat na bránu, bych asi vysvětlování nastavení VPN ani nezkoušel a musel bych si to udělat sám :( Zase je ale jasné, že by to bylo asi nelepší řešení a vyřešilo by mi to i přístup na síťové disky mimo domácí síť. Kdybych měl aspoň čas si s tím hrát a nastavovat to, ach jo :( Takhle mám obavy, že mi to akorát sežere spoustu času, který bych mohl věnovat něčemu jinému :( Nebo máš nějaký pěkný návod, co všechno bych musel udělat, aby mi to fungovalo tak, jak by mělo? Já mám strach, že budu akorát Googlit, ztratím tím kupu času a stejně se s tím budu akorát trápit a pořádně to nikdy nerozchodím :(

//EDIT:
Asi definitivně jsem to vyřešil tím, že pro připojení na FTP vyžaduju SSL a změnil jsem výchozí FTP port. Port 21 jsem ve firewallu úplně zakázal. Tím jsem snad docílil alespoň rozumného zabezpečení.
« Poslední změna: 07 Listopadu 2009, 23:57:47 od Bari »

Martin - ViPEr*CZ*

Re: Soubory napadené virem - jak na ně?
« Odpověď #15 kdy: 08 Listopadu 2009, 08:57:24 »
Open source is gold way... Mint 17.2, Debian 8.1 Jessie| Ubuntu Wiki (návody) | Google vyhledávač | Qt4 návody

Armus69

  • Aktivní člen
  • *
  • Příspěvků: 297
    • http://www.netlancers.cz
Re: Soubory napadené virem - jak na ně?
« Odpověď #16 kdy: 08 Listopadu 2009, 11:18:25 »
OpenVPN je moc dobré řešení ale zdá se mi nevhodné právě kvůli složitosti pro klientské stanice.
    na server pptpd a webmin  - ten má příjemné rozhraní pro celou řadu serverových aplikací od ftp samby, pptpd-server  ale i openvpn, firewall koukni na www.webmin.com
    U win se potom dá jen přidat síǒvě připojení VPN a funguje to.

  Ale pokud opravdu nemáš čas  tak to sftp stačí. Ale sdílené disky jsou fajn.
    pokud by jsi chtěl sdílené disky i bez VPN  tak pomocí sshfs si přimountovat server. na klientu balik sshfs , na server adduser  s homeadresářem na tvé data   pak jen připojit přes ssh klíče.
    "sshfs <flagy> <IPserveru> <clientmountpoint>
jabber:  Armus69@jabber.cz

Bari

  • Návštěvník
  • Příspěvků: 62
Re: Soubory napadené virem - jak na ně?
« Odpověď #17 kdy: 08 Listopadu 2009, 14:57:48 »
Díky.

Od VPNka asi upustím. Teď jsem ale bohužel zjistil, že se nepřipojím na FTP z internetu. Doma na PC mi to funguje, ale když se chci připojit někde z netu z notebooku, zadám vše stejně jako doma, ale napíše mi to "chyba při stahování adresáře /, illegal port command". FTP běží na portu 1989 (zkoušel jsem i například 44333), mám vyžadováno SSL pro auth i data. Ve firewallu na serveru jsou tyto porty povolené, firewall na notebooku to taky nebrzdí. Nevíte, čím to je? Jak to vyřešit?

Další problém je, že když restartuju server, tak se mi záhadně ztratí vyžadování SSL, i když v configu to stále je stejné. Musím vždy na vzdálenou plochu, tam si musím otevřít grafický rozhraní administrace proftpd, potvrdit nastavení a ručně vypnout a zapnout FTP server pávě přes to grafické rozhraní. Když jenom znovu uložím proftpd.conf a restartuju vzdáleně přes putty pomocí /etc/init.d/proftpd restart, tak to poté stále nefunguje.

//EDIT:
Tak jsem to zkoušel různě nastavovat a testovat a přišel jsem na to, že FTP funguje pouze na portu 21 a pouze bez zabezpečení. Pokud nastavím zabezpečení (SSL explicitní i TLS explicitní jsem zkoušel), nepřipojím se ani na portu 21. Pokud nastavím jakýkoliv jiný port a povolím ho na firewallu, tak se nepřipojím ani se zabezpečením a ani bez něj. Vždy to vypíše
Citace
Čas vypršel.
Nepodařilo se stáhnout výpis adresáře.
Port command successful
Chyba při zjišťování obsahu adresáře '/'
Přitom z domácí sítě se připojím, ale odkudkoliv jinde z internetu už se nepřipojím.

Nevíte někdo, čím by to mohlo být? Jak to vyřešit?
« Poslední změna: 08 Listopadu 2009, 20:14:32 od Bari »

Armus69

  • Aktivní člen
  • *
  • Příspěvků: 297
    • http://www.netlancers.cz
Re: Soubory napadené virem - jak na ně?
« Odpověď #18 kdy: 08 Listopadu 2009, 20:37:53 »
zapnout lepší logování než jen info pokud je to možné  a kouknout co na to řeknou logy, jinak by to mělo fungovat na portech ketere se tomu určej, máš povolenej i rozsah pasivních portů? a zdojovej port 20 pro aktiv připojení ? Ja používám VSFTPD takže s proftpd ti moc neporadim. Ale ty logy by mohly napovědět.

   Pass porty se zadávají do konfigu /etc/proftpd.conf  PassivePorts 49152 65534   nápovědu dostaneš v dokumentaci.
jabber:  Armus69@jabber.cz

Bari

  • Návštěvník
  • Příspěvků: 62
Re: Soubory napadené virem - jak na ně?
« Odpověď #19 kdy: 08 Listopadu 2009, 21:06:12 »
Server port jsem si zvolil 1989 místo 21, pasivní porty mám v tom rozsahu, jak píšeš. Zdrojovej port nevím, co je. Tu možnost nikde nevidím, jenom vidím nějaké Umask 022, to ale nevím, co je. Lepší logování asi nezapnu, nikde tu možnost nevidím.

Armus69

  • Aktivní člen
  • *
  • Příspěvků: 297
    • http://www.netlancers.cz
Re: Soubory napadené virem - jak na ně?
« Odpověď #20 kdy: 08 Listopadu 2009, 21:35:23 »
pasivni porty vepsat do configu , a povolit na firewallu, na firewallu povolit input ze source portu 20.  Je vygenerován klíč pro ssl tls ?  ftps port je 990.

  takhle je to u vsftpd http://ubuntuforums.org/showthread.php?t=518293 a funguje to.

jabber:  Armus69@jabber.cz

Bari

  • Návštěvník
  • Příspěvků: 62
Re: Soubory napadené virem - jak na ně?
« Odpověď #21 kdy: 08 Listopadu 2009, 21:42:48 »
Pasivní porty v configu mám. Na firewallu musí být povolen celý ten rozsah, tedy cca 16tisíc portů? To snad ne... Klíč pro SSL/TLS jsem si vygeneroval. Když nastavím na serveru port 990 a na klientovi nastavím také 990, tak to udělá to stejné, jako s tím portem 1989.
« Poslední změna: 08 Listopadu 2009, 22:04:16 od Bari »

Armus69

  • Aktivní člen
  • *
  • Příspěvků: 297
    • http://www.netlancers.cz
Re: Soubory napadené virem - jak na ně?
« Odpověď #22 kdy: 08 Listopadu 2009, 22:15:57 »
tak ten rozsah pass portu zmenši a povol. Jde o to  to nejprv rozběhat  a pak teprve doladit. Co řikají logy? co stavové informace v klientu připojí se na server, pokusí se o login , je vidět kde to selže ?
 ?
jabber:  Armus69@jabber.cz

Bari

  • Návštěvník
  • Příspěvků: 62
Re: Soubory napadené virem - jak na ně?
« Odpověď #23 kdy: 08 Listopadu 2009, 22:59:53 »
Takže na serveru jsem pro vyzkoušení úplně vypnul firewall. Pokud jsem na klientovi nezadal pasivní přenos, opět se připojení nezadařilo. Pokud jsem ale nastavil pasivní režim, bez problému se to spojilo a normálně jsem byl na FTP. Se zapnutým firewallem jsem se nepřipojil ani s pasivním režimem, ani bez něj. Můžu nějak ovlivnit používání toho pasivního přenosu? Pro žádné jiné FTP (webhostingy...) nezaškrtávám používání pasivního přenosu a funguje mi to i s SSL. Je nějak možné zmenšit rozsah těch portů pro pasivní přenos na serveru? Já vím, jak ho zmenšit, ale neovlivní to nějak funkčnost FTP, že by se třeba někdy nešlo připojit? Netuším, jak ten pasivní přenos funguje, co to ovlivňuje a na co je tam tolik portů...

Při připojování se zapnutým firewallem (s pasivním i bez pasivního režimu) mi klient provede následující kroky:
Citace
Spojování s moje_ip:1989
Připojeno k moje_ip:1989, vyjednávání SSL spojení
SSL spojení navázáno. Čekám na uvítací zprávu
Připojeno
Příprava
Čtení vzdáleného adresáře
Stahuji výpis adresáře
A na stahování výpisu adresáře to skončí a vyhodí chybu.

Armus69

  • Aktivní člen
  • *
  • Příspěvků: 297
    • http://www.netlancers.cz
Re: Soubory napadené virem - jak na ně?
« Odpověď #24 kdy: 09 Listopadu 2009, 15:52:17 »
pro pasivní připojení musíš povolit komunikaci na FW pro pasivní porty, a pro aktivní musíš mít povolen INPUT pro port 20 na zdrojové IP
 

 u mě :
-A tcp_inbound -p tcp -s 0/0 --dport 21 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --sport 20 -j ACCEPT
-A tcp_inbound -p tcp -m tcp -d 212.117.160.56 --dport 62000:64000 -j ACCEPT

u vsftpd.conf  passive ports 62000-64000

jabber:  Armus69@jabber.cz

 

Provoz zaštiťuje spolek OpenAlt.