Розповсюдження вірусів по LAN. Як з цим боротись?

[sepultura.exp]

Є сервер на якому встановлений UNIX. На ньому є встановлена samba і розшарено за допомогою неї папку для користувачів локальної мережі. Пароля на папці нема. Все було нормально вже скільки часу і от буквально недавно в цю папку почав закидатись один файл, при його перевірці - це виявився вірус. У його властивостях не вказано звідки він, з якої ір його закинуто. Після того як його видалено, через кілка секунд або хв він появляється знову. В логах Самби не вказуються імена файлів які хтось закидав.. Всі ПК провіряв на віруси, в кого знайшов і вилікував, в кого їх взагалі не виявилось, але це не допомогло ситуації, вірус так і далі продовжує з"являтись.

Що в цьому випадку можна зробити?
- Може якось за допомгою tcpdump можна відслідкувати по порту чий комп таке витворяє?
- Може якось можна за допомогою самої самби відслідкувати?
- А може взагалі поставити на іншій машині сніфер і спробувати відслідкувати?
- Чи може хто знає як скрипт написати який це можна вислідкувати?
Хто знає - напишіть будь ласка, буду дуже вдячний!!!

[TuxRoot]

Можливо пароль поставити, хоча б якись наївний, але щоб віруси не автоматично, Просто UNIX'у паралельно чи він там є, чи ні. Сам вірус це класика жанру, а саме що він з'являється постійно. Просто вірус може мати простий архів, який просто собі висить і не розпізнається, а потім розпаковується автоматично, а далі вже вірус, тобто діло в джерелі і він дійсно може бути посланий з боку локальних користувачів і не обов'язково, себто архів не обов'язково має знаходитись на UNIX'і. Є два варіанта: Налаштувати фільтр Firewall'у належним чином або поставити ЛІнуху на інші компи:).


P.S. Як на мене останій варіант самий гуманий .

[sepultura.exp]

Можливо пароль поставити, хоча б якись наївний, але щоб віруси не автоматично...

Ставити пароль власником серверу заборонено, він сказав що це не вихід

Сам вірус це класика жанру, а саме що він з'являється постійно. Просто вірус може мати простий архів, який просто собі висить і не розпізнається, а потім розпаковується автоматично, а далі вже вірус, тобто діло в джерелі і він дійсно може бути посланий з боку локальних користувачів і не обов'язково, себто архів не обов'язково має знаходитись на UNIX'і.

Цей вірус розпізнається!! Проблема його в тому що не знаю як знайти його джерело, мені тре вислідкувати звідки він це робить. Яким чином це можна зробити??

Є два варіанта:
Налаштувати фільтр Firewall'у належним чином або поставити ЛІнуху на інші компи:).
P.S. Як на мене останій варіант самий гуманий .

На рахунок цих двох варіантів - не один не підходить. Пояснюю:
Вірус з"являється не будь де, а суто в розшареній папці, на яку дано повні права всім!! Хай фаєрвол я настрою, а вірус? Вірус залишиться і буде заражати інших.
Ставити лінух на всі компи - теж нема сенсу. по перше нема програмного забезпечення в якому працюють користувачі тих ПК, а по друге навіть якби і було, їм би прийшлось вчитись користуватись лінуксом, а воно декому сто років треба.

Тут основне питання, як засікти комп"ютер із цією заразою??

[Praporshic]

Ціла купа варіацій на тему (російською):
http://www.opennet.ru/search.shtml?words=samba+clamav

[sepultura.exp]

Ціла купа варіацій на тему (російською):
http://www.opennet.ru/search.shtml?words=samba+clamav

Це я розумію, антивірус знезаразить, через кілька секунд буде знову той самий вірус, CLAMAV знову його видалить, і ситуація повторюватиметься до нескінченності... Це теж не вирішення

Як мені відслідкувати шкідника??
Може хто знає, може є варіант щоб самба писала розщширені логи, не тільки хто коли підключився і від"єднався, а й що робив, стирав, копіював, імена файлів.. Чи може хто знає як написати скрипт який це зреалізує??:

[Praporshic]

А Ви увімкніть у ClamAV ведення журналів  

[DalekiyObriy]

спробуйте
log level = 3
в smb.conf

[LOR]

Ну якщо вірус по мережі записується в папку куди всі можуть писати то, щоб виявити IP:port достатньо прописати правило в iptables, але з самого початку пред тим як приймаете пакети.

# iptables -A INPUT -p ALL -m multiport --dport 137,138,139,445 -j LOG --log-prefix "samba share INPUT" --log-tcp-options --log-ip-options

Бажано щоб самбою ніхто крім вірусу не користувався в цей момент щоб було менше логів. Появиться в логах щось типу:

Jan  5 15:44:03 ************ samba share input INPUT IN=eth0 OUT= MAC= SRC=202.97.238.195 DST=************ LEN=485 TOS=0x00 PREC=0x00 TTL=48 ID=0 DF PROTO=UDP SPT=39252 DPT=1027 LEN=465

Може вірь і не по мережі лізти, а локально сидіти тоді зовсім інше питання...

[TuxRoot]

Дуже сумнівно що джерело на UNIX'і лежить, бо воно там не може нормально фукціонувати, все ж це вам не підвіконик.

[sepultura.exp]

Дуже сумнівно що джерело на UNIX'і лежить, бо воно там не може нормально фукціонувати, все ж це вам не підвіконик.

Так, на Unix це джерело не лежить. Провіривши всі ПК в мережі на віруси, я знайшов три заражених цим вірусом який розповсюджується. Зробивши їм повну профілактику, вилікував і постирав ці віруси. Але все таки він в мережі блукає і все одно залітає в розшарені папки

[TuxRoot]

Це те саме що інтернет -- тому ви там спокійно можете скачати вірус, тут подібне він у вас буде постійно...єдине порекомендує це фаєрвол ібо пошукайте антивіруси для UNIX'а, наприклад: http://www.clamav.net/ і http://aplawrence.com/SCOFAQ/FAQ_scotec6antivirusprog.html