Soubory napadené virem - jak na ně?

[Bari]

Z toho jsem to bohužel moc nepochopil Port 20 mám na firewallu povolenej, ale ani tak se na FTP nepřipojím. Můžu si na FTP serveru nastavit pro pasivní režim jenom jeden port a ten jeden port povolit ve firewallu nebo těch portů musí být víc? Ideálně bych potřeboval, abych se mohl na FTP připojit i bez pasivního režimu. Případně bych pro pasivní chtěl mít třeba jen pár portů (10 třeba?), ale to nevím, jestli je vůbec možné mít tak málo portů pro pasivní režim.

[Armus69]

to záleží na počtu připojenejch useru najednou nemusíš otvírat 2000 portu ale spíš bych to řešil zpočátku volnějšími pravidly a poté pomalu utahovat, základ je aby to fachalo a pak řešit omezení. U aktiv musíš mít povolenou 20 jako source port. otevři 200 portu pro passiv a skuste to. kolik lidí přistupuje najednou na to ftp ?

[Bari]

Já mám 20 port otevřenej a aktiv stejně nejde Nechápu proč
Najednou na FTP přistupuje max teoreticky 3 lidi, z 95% tam bude jen jeden člověk. Jak říkám, to FTP mám pro sebe a pro pár kamarádů, kteří tam občas zajdou.

[Armus69]

dej mi sem to pravidla jak je ten FW nastavenej

[Bari]

Tady je výpis ze statusu firewallu. Mám nastavený sudo ufw default deny a povolený porty z toho výpisu.
Kolik bych měl mít povolených pasivních portů pro mé potřeby?

[attachment deleted by admin]

[Armus69]

kde je tam ten rozsah pass portu? nevidim ho. 2 porty na spojení x max spojení na klienta x počet klientů + neco nav
íc pro strejčka jistotu ale to asi střílím od boku, abych tu neplácal blbosti.

[Armus69]

povolení portů na fw  se neboj protože je otevírá až ftp server dynamicky, nic na nich nenaslouchá


http://slacksite.com/other/ftp.html
http://en.wikipedia.org/wiki/File_Transfer_Protocol

[Bari]

Pravidla jsem tam neměl, protože jsem nevěděl, kolik jich tam má být.
Na FTP serveru jsem si nastavil rozsah pro pasivní porty 49152 - 49172 (20 musí bohatě stačit).
To stejné jsem udělal na firewallu, viz. screen.
Na FTP server se teď připojím jako pasiv, ale bohužel stále nevím, proč nejde aktiv

[attachment deleted by admin]

[Armus69]

funguje to s vyplym FW ?

[Bari]

Ne. I s vypnutým FW na serveru se nepřipojím. Vyhodí to chybu při stahování adresáře

Nepodařilo se stáhnout výpis adresáře
Illegal PORT command

[Armus69]

tak mas něco blbě v configu.

Mě napadá už jen apt-get remove --purge proftpd && apt-get install vsftpd    ale to není řešení.

[Bari]

No zkusím si pohrát s tím configem Zatím moc díky a pokud přijdu na řešení, hodím to sem

[Armus69]

čau   porovnej to svý s tímto    http://www.howtoforge.com/setting-up-proftpd-tls-on-ubuntu-9.04-jaunty-jackalope

 Je to pro jaunty ale jinak je to stejný.

[Bari]

Už jsem to vyřešil. Funguje mi to přes SSL, který je vyžadováno, bez SSL se nejde připojit. Běží mi to na portu 1989, port 21 je na firewallu úplně zakázaný. Pro připojení je nutné mít pasivní přenos, což není až taková hrůza, to je jedno zatržítko v klientovi. Mám povolených 20 pasivních portů, což bohatě stačí a funguje mi to perfektně Dál už se v tom rýpat raději nebudu

Ještě bych měl ale otázku z jiného soudku. Na serveru mám teď jeden 1TB disk, ale pomalu dochází míst. Čili bych chtěl pořídit ještě jeden disk (nejspíš 1,5TB) a připojit ho. Půjde to udělat nějak tak, abych rozšířil ten stávající bez použití RAIDu? V tuto chvíli mám ten jeden disk rozdělený na 20 GB pro systém a aplikace, 4 GB pro swap a zbytek je pro data - adresář /home. Kapacitu adresáře /home bych ale chtěl rozšířit ještě o ten nový disk, půjde to nějak? Nebo jak se vlastně bude tvářit ten nový disk? Jak bude na Ubuntu vidět? RAID nechci použít z důvodu nespolehlivosti RAID0 pole, navíc deska ani RAID nemá.

[Martin Kiklhorn]

doporučuji na otázku z nového soudku založit nové téma

[Armus69]

nový soudek nové téma, ale bylo by dobré vzít ze starého soudku nějaké řešení aneb kde byla chyba.

[Bari]

No co se týká původního problému s virem na serveru, tak to bylo nejspíš tím, že tam běželo nezabezpečené FTP na portu 21 a byl velice špatně nastavený firewall (spíš vůbec nebyl). Od doby, co jsem změnil port a nastavil jsem vyžadování SSL pro FTP a aktivoval a pořádně nastavil firewall, tak už se tam žádný vir neukázal.

Co se týče nastavení FTP (vyžadování SSL a změna portu), tak stačilo povolit port pro FTP na firewallu, povolit port 20 a povolit rozsah pasivních portů (u mě 20 portů stačí). To stejné nastavit i na FTP serveru a nastavit vyžadování SSL (u proftpd jsem musel doinstalovat modul tls) a bylo hotovo. Na FTP klientech je nutné zadat pasivní přenos, aktivní mi nechodí, což mi ale nějak nevadí. Takže teď mi FTP chodí na mém portu (výchozí 21 je zablokovaná i na firewallu) a pro připojení je nutné mít explicitní SSL, bez toho se také nelze připojit. V klientu mít zadaný pasivní režim a vše běhá perfektně

[Bari]

Bohužel musím oživit tohle téma, protože dnes se mi opět na serveru objevil Tenga.gen virus. Firewall je aktivní, port 21 zakázanej, FTP běží na jiném portu a pouze s SSL. Samba vůbec z netu není přístupná. Antivir mám, viry jsem odstranil, ale neexistuje nějaká ochrana, která by byla rezidentní? Něco, co by prostě zamezilo přístupu virům.

[Armus69]

clamav, avira, ale toto je problém uživatelů co mají zavirované kompy a nechávají si krást přístupy, nebo mají aktvního trojana připojení  ten začne infikovat soubory jak zdetekuje nějaký fileserver.

[Bari]

Právě že napadené jsou ty soubory, ke kterým nemá nikdo přístup. To mě zaráží... Jsou to soubory v mých dokumentech a k těm mám přístup jenom já ze svého účtu, ostatní uživatelé se k této složce vůbec nedostanou. A já u sebe v PC určitě nic nemám, projížděl jsem to esetem i vyjel jsem si i log z hijackthis a nic tam nemám. Navíc si myslím, že svůj PC si chráním dobře.

[Armus69]

projdi ftp log, tam jasně uvidíš jestli tak infekce přišla z ftp, pokud ne pak by to bylo přímo na serveru.  skus na server clamav a rkhunter.

[Pavel56]

A já u sebe v PC určitě nic nemám, projížděl jsem to esetem i vyjel jsem si i log z hijackthis a nic tam nemám. Navíc si myslím, že svůj PC si chráním dobře.

Mam zkusenost, ze eset toho moc neobjevi, hijack taky. Zkusil bych ComboFix + vzpominanou Aviru - tu pouzivam od doby vzniku hlavne proto, ze mluvila srozumitelnou (=nemeckou) reci. Zatim (tuk-tuk) nikdy nezklamala.

[Armus69]

Já dávám všude aviru a sám jí mam taky nainstalovanou na win strojích a jsem teda plně spokojenej. Na serveru skus teda rkhuter http://www.rootkit.nl/projects/rootkit_hunter.html http://en.wikipedia.org/wiki/Rkhunter a clamav  http://www.clamav.net/download/packages/packages-linux   

[Bari]

V logu FTP bohužel nic není, FTP asi neloguje
Když jsem byl ale u těch logů, začínám mít podezření na sambu. Já se na ni z venku nepřipojím, není ale možné to nějak obejít? Na serveru mám veřejnou statickou IP a porty pro sambu mám povolený. I přesto mi to ale nejde, mám ale obavu, že chybu dělám někde já a že ve skutečnosti to jít může. Jde to nějak vyzkoušet? Jak se to dá obejít? Když si na PC připojuju síťové disky, zadávám \\ip_serveru\slozka, což mi na domácí síti funguje, z internetu mi to takhle ale nefunguje. Může být v něčem problém a můžu to nějak vyzkoušet, jestli je samba skutečně dostupná z netu nebo není?

[Thomas123]

Tak nějak jsem tuto diskusi přelítl, na začátku je jeden velký omyl - SFTP není pokud vím FTP zabezpečené pomocí SSL.
SFTP - FTP přenos zabezpečený prováděný pomocí SSH
FTPs - FTP přenos zabezpečený pomocí SSL, tento protokol pokud vím není standartizovaný, takže může způsobit více problémů než užitku.

Jinak k původnímu dotazu, zkus projít všechny logy (docela na dlouho, protože nevíme, co hledat) a hledat, zda se tam někdo odněkud nepřojil.