Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 18/11/2015, à 15:07

doudoulolita

ransomware helpme@freespeechmail.org

Dans notre Espace Public Numérique sous Linux (Ubuntu 14.04 + quelques Linux Mint), le dossier partagé par smb a été corrompu par un ransomware qui ajoute à la plupart des fichiers l'extension helpme@freespeechmail.org. Ce dossier est sur une partition à part du serveur.

Les postes client de l'Espace et les autres partitions du serveur ne semblent pas touchées.

Nous supposons 2 possibilités :
- qu'un usager ayant le mot de passe root ait volontairement ou non téléchargé et activé ce virus en le plaçant dans le dossier partagé.
- que j'ai commis une imprudence en laissant dans ce dossier et dans la dossier var>www du serveur (uniquement local) un formulaire php peu sécurisé (mais je ne suis pas sûre que ce soit possible de cette façon sans intervention humaine)

On a une moitié des ordis en dual boot avec windows7, mais ils n'ont pas de lien vers le dossier partagé.

Difficile de trouver des infos pour protéger tous les ordis et éventuellement décrypter les fichiers corrompus (certains usagers n'ayant pas de copie de sauvegarde). Ce phénomène semble assez peu courant sous linux. Merci d'avance de vos réponses.

Hors ligne

#2 Le 18/11/2015, à 20:15

SangokuSS

Re : ransomware helpme@freespeechmail.org

#3 Le 18/11/2015, à 21:04

Brunod

Re : ransomware helpme@freespeechmail.org

doudoulolita a écrit :

... le dossier partagé par smb a été corrompu ...

On a une moitié des ordis en dual boot avec windows7, mais ils n'ont pas de lien vers le dossier partagé.

Difficile de trouver des infos pour protéger tous les ordis et éventuellement décrypter les fichiers corrompus (certains usagers n'ayant pas de copie de sauvegarde). Ce phénomène semble assez peu courant sous linux. Merci d'avance de vos réponses.

Si l'accès est autorisé à windows par smb, inutile de chercher plus loin... Un windows rogue serait-il passé par là ? Infecté, le virus se propage sur tout ce qui est accessible.


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#4 Le 18/11/2015, à 21:09

Braun

Re : ransomware helpme@freespeechmail.org

+1
Un partage samba est toujours un risque.

Hors ligne

#5 Le 20/11/2015, à 17:30

doudoulolita

Re : ransomware helpme@freespeechmail.org

Merci.
Je pensais que les partitions windows n'avaient pas accès au partage samba, mais ce n'était sans doute pas le cas. En plus, pas mal d'antivirus n'étaient plus à jour.

On a formaté la partition smb touchée, sécurisé tout ce qu'on a pu et passé un scan d'antivirus sur tous les postes en dual boot avec Windows. Les scans  ont permis de mettre en quarantaine pas mal de trucs, et à la fin, tout est OK sauf le réseau. Ils semblent indiquer que c'est la box qui est infectée. Comme on n'est pas des surdoués sous Windows, qu'on garde juste pour les jeux des jeunes, on a du mal avec tout ce qui est virus et antivirus....

J'espère qu'on va pouvoir protéger ce qui reste ! En tout cas, ça nous fera une bonne excuse pour virer le dual-boot et faire une réinstall Ubuntu sur tous les postes.

Hors ligne

#6 Le 20/11/2015, à 22:47

Brunod

Re : ransomware helpme@freespeechmail.org

doudoulolita a écrit :

Merci.
Je pensais que les partitions windows n'avaient pas accès au partage samba, mais ce n'était sans doute pas le cas. ...

C'est juste le contraire : samba est un protocole de partage avec windows.


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#7 Le 23/11/2015, à 15:36

doudoulolita

Re : ransomware helpme@freespeechmail.org

Ooops ! Nous, on l'utilisait surtout pour que tous les ordis Ubuntu et Linux Mint puisse accéder à un dossier partagé.

Quelle autre solution pouvons-nous utiliser ?

Hors ligne

#8 Le 23/11/2015, à 15:43

Nasman

Re : ransomware helpme@freespeechmail.org

nfs ?


PC fixe sous Bionic 64 bits et portable avec Focal 64 bits

Hors ligne

#9 Le 23/11/2015, à 15:50

Brunod

Re : ransomware helpme@freespeechmail.org

doudoulolita a écrit :

...que tous les ordis Ubuntu et Linux Mint puisse accéder à un dossier partagé.
Quelle autre solution pouvons-nous utiliser ?

Partagé entre eux ? Ou aussi avec windows (ce que je suppose, étant donné l'arrivée du virus) ? Parce qu'alors, effectivement, samba uniquement.


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#10 Le 24/11/2015, à 12:11

kholo

Re : ransomware helpme@freespeechmail.org

bonjour,
samba les C$*!§**** oui...
oups... partage samba est bien grand mot...
ACL en contradiction et ouverture de chaque PC au réseau...

ma solution : un poste sous nux avec
Un dossier partagé avec openssh
dans un environnement utilisateur accessible à tous, par exemple :
useurkonsenfou et son mot de passe : motdepassebidon...

Depuis linux c'est quasi natif avec les gestionnaires de fichiers (nautilus, némo...) mettre ssh et IP / mdp
voire mettre en adresse sftp://useurkonsenfou@IPserveur/home/useurkonsenfou
et pour Windows filezilla et accès par ftp mettre ssh et IP / mdp
(ya eu des portages ssh du temps de XP mais si ça c'était plus su Samba aurait disparu depuis !!!)

par défaut je laisse le port 22 mais ça peut être modifié.

Hors ligne

#11 Le 25/11/2015, à 19:49

doudoulolita

Re : ransomware helpme@freespeechmail.org

Merci à tous. smile
En fait, on n'a même pas vraiment besoin que les postes Windows accèdent au dossier partagé.
Le dual boot ne sert qu'une fois par semaine pour que les gamins puissent installer des jeux qui leur plaisent sous Windows.
Et aussi juste une fois de temps en temps, pour montrer à nos élèves adultes que les 2 systèmes sont relativement similaires côté explorateur de fichiers (enregistrement de fichiers, création de dossiers, etc), mais que pour installer un programme ou éjecter une clé USB, il y a quelques différences. Cela leur permet de ne pas trop paniquer quand ils rentrent chez eux et qu'ils ont un ordi sous windows (installé par défaut sur la plupart des ordis).

Hors ligne

#12 Le 26/11/2015, à 13:03

kholo

Re : ransomware helpme@freespeechmail.org

bonjour,
pour installer openssh sur n'importe quel poste debian like (xbuntu, mint...)
sudo apt-get install openssh-server
ouvrir le port 22 pour les connections ssh avec gufw par exemple
ou

sudo ufw allow proto tcp from 192.168.1.0/24 port 22

le code doit pouvoir être mieux fait...
il faut adapter "192.168.1" du 192.168.1.0/24 qui ici veut dire toutes les adresses du réseau 192.168.1.x
ensuite créer ou utiliser un des utilisateurs du serveur (avec des noms génériques comme InvitéA...)
retenir :
   le nom de l'utilisateur avec lequel on se connectera
   le mot de passe associé
   l'adresse IP du serveur,

ifconfig

sur le client, avec nautilus trouver "se connecter au serveur"
mettre l'adresse IP trouvée avec ifconfig
connexion ssh
le dossier (sur le serveur) : /home ou /home/nom_utilisateur
et le mot de passe (ne pas l'enregistrer en définitif)

on peut faire la même chose dans la barre d'adresse : (accès avec Ctrl + L dans Nautilus)
sftp://nom_utilisateur@IPserveur(PointDeMontage)
par exemple :
sftp://user@192.168.0.56/
(ici montage de la racine)
ou
sftp://user@192.168.0.56/media/music
NB même monter plus haut rien n’empêche de remonter à la racine avec Crtl + L dans Nautilus

c'est possible de conserver un signet avec "Ctrl + d"
comme le mot de passe n'est pas enregistré, il sera demandé à chaque fois

Hors ligne

#13 Le 28/11/2015, à 14:13

Compte anonymisé

Re : ransomware helpme@freespeechmail.org

que j'ai commis une imprudence en laissant dans ce dossier et dans la dossier var>www du serveur (uniquement local) un formulaire php peu sécurisé (mais je ne suis pas sûre que ce soit possible de cette façon sans intervention humaine)

Un formulaire php est toujours dangereux surtout si ce dernier n'est pas sécurisé convenablement au niveau des variables déclarées(exécution de code arbitraire), bref cela veut dire de bien vérifier ce qui est saisi avant de l'enregistrer. par exemple:
http://php.net/manual/fr/function.htmlentities.php
Si une partie du réseau est ouvert à Internet, un simple Bot peut trouver la faille... Si non, il s'agit bien d'une intervention humaine. Mais de mémoire, je crois que Samba écoute partout par défaut, ce n'est pas top mais pratique wink.
Bien vérifier les droits des partitions serveurs en fonction de ce que l'on souhaite offrir, les droits en écriture, lecture, modification sont la base de Unix. Ne pas hésiter à repenser votre stratégie réseau avec groupes/accès/droits.
Voilà mon humble avis.