Forum Debian Users Gang

guzzi napisał(-a):

Znacie może rozwiązanie by na serwerze pocztowym wywalać to g@wno zanim dotrze do odbiorcy?

http://di.com.pl/ctb-locker-powrocil-atakuje-serwer … ne-demo-54578

Kaspersky Antywirus... :D

Kaspersky nie wykrył, tylko sam to napisał.

Za moment Clam będzie to wykrywał, a co do luk w zabezpieczeniach serwera pocztowego, to masz np Grsec, Pax, SELinux, Apparmor, Tomoyo, do wyboru,
do koloru.
Po prostu solidnie dozbroić serwer i powinin być spokój.

Przy okazji warto mieć wszystkie binarki na serwerze kompilowane z PIE, SPP
i podobnymi zabezpieczeniami na okoliczność exploitów.

Na przykład tak:

hardening-check  `which mplayer`
/usr/bin/mplayer:
 Position Independent Executable: yes
 Stack protected: yes
 Fortify Source functions: yes (some protected functions found)
 Read-only relocations: yes
 Immediate binding: yes

PS:

dpkg -S  `which hardening-check`
hardening-includes: /usr/bin/hardening-check

cat /etc/debian_version 
stretch/sid

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2016-03-23 04:08:52)

Jak już otrzymała, to nie do mnie z tym.

Ja stawiasz serwer pocztowy, to tam możesz ustawić np Amavisa (Postfix), albo Qmail-scanner (Qmail), żeby sprawdzał zawartość załączników, i wywalał niedozwolone rozszerzenia czy typy mime.

Clamd też może skanować archiwa ZIP, i clamav-milter też łapie podejrzane pliki.

To w kwestii serwera pocztowego.

A znajomą weź w obroty, żeby na przyszłość wypakowała  klienta poczty do sandboxa (zrobionego z Sandboxie (licencja dożywotnia około $40) albo np Comodo-security - dało się go za darmo zainstalować jako Comodo-firewall), wtedy taki CTB-Locker za dużo nie nabroi.

Albo w ogóle na windę niech kupi AppGuarda, ten sobie lepiej radzi, niż większość antywirów, bo po prostu sprawdza sumy kontrolne dozwolonych binarek, i jest względny spokój, ale za roczny abonament.

Tu masz coś lamerskiego o tym draństwie:
https://usunwirusa.pl/wirus-ctb-locker/

Albo w ogóle wymień babce Windę na Debiana, będzie spokój. :D

W ogóle nie czaję, co to znaczy, wirus w załączniku maila, takie rzeczy działały 15 lat temu, teraz to chyba trzeba maila na takiej tandecie jak o2 złożyć, żeby tam podobne śmiecie przechodziły.

Tu są jakieś sygnatury do Clama na to draństwo:
https://forums.contribs.org/index.php?topic=51501.0

Ale i tak najbezpieczniej w filtrach serwera pocztowego dać jako dozwolone tylko niektóre typy załączników.

Np Amavis:

grep exe /etc/amavisd.conf 
  qr'^\.(exe-ms|dll)$',                   # banned file(1) types, rudimentary
# qr'^\.(exe|lha|cab|dll)$',              # banned file(1) types
  qr'^(?!cid:).*\.[^./]*[A-Za-z][^./]*\.\s*(exe|vbs|pif|scr|bat|cmd|com|cpl|dll)[.\s]*$'i,
  qr'.\.(exe|vbs|pif|scr|cpl)$'i,             # banned extension - basic
# qr'.\.(exe|vbs|pif|scr|cpl|bat|cmd|com)$'i, # banned extension - basic+cmd
# qr'.\.(ade|adp|app|bas|bat|chm|cmd|com|cpl|crt|emf|exe|fxp|grp|hlp|hta|
  ['exe',  \&do_executable, ['rar','unrar'], 'lha', ['arj','unarj'] ],

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2016-03-23 18:28:22)

Ten guru, może sam przyrządził CTB-lockera dla dziewczyny, żeby jej potem wiedzą szpanować, i poderwać przy okazji?

Jak to diabelstwo poszyfruje pliki, to pozamiatane.
Lepiej jakąś potezę ACl czy Sandbox zrobić, żeby pierdolone ąmiecie trzymać z daleka od ważnych danych.
I przy okazji, zakażać używania Outlooka, a w Thunderbirdzie zablokować działanie wtyczek typu java.
W ogóle nie czaję, po co ludzie javę na kompach trzymają, ja javy już ze 2-3 lata nie mam, i jakoś żyję jeszcze. :D

EDIT:
Rzuć okiem na ten koment:
https://niebezpiecznik.pl/post/zainfekowal-cie-cryp … omment-518299

Tu masz sposób na przyszłość:
http://www.howtogeek.com/195381/ensure-a-windows-pc … applications/

Ostatnio edytowany przez Jacekalex (2016-03-23 22:09:35)

guzzi napisał(-a):

Po co javę trzymają? Bo owa Pani pracuje w placówce oświatowej i tam muszą używać aplikacji która bez javy nie zadziała.

To może przepis z tym child kontem w Windows pomoże?
Sznurek masz tam gdzieś wyżej.
Od wersji 7 chyba jest coś takiego, konto dla dzidzi, z listą dozwolonych programów.
Wtedy Javę odpali, Outlooka odpali, ale nieznanych binarek, których nie ma na liście, już niekoniecznie.

Co do zaszyfrowanych plików, to jeśli są szyfrowane 128 bitowym kluczem RSA, to to jest do złamania, o ile wyczeszesz z wirusa klucz publiczny.

W protokole RSA minimalna uznawana za bezpieczną długość klucza RSA to 2048 bit, czyli 16 razy więcej, niż ma ten wirus.
Np w SSH - ssh-keygen pozwala wygenerować RSA 16384 bity, w GnuPG maks 4096 bit.