Suche

protonet-user 18.02.2016 - 8:59

Schutz vor Verschlüsselungs Trojaner

Aus aktuellem Anlass: Verseuchte Clients könnten über gemountete Soul Laufwerke Dateien (oder sogar alle Ordner) unbrauchbar machen. Es wäre schön wenn es in der  Soul Konfigurationsoberfläche einen Deaktivierungsbutton für den Zugriff über SMB allgemein gäbe. 😉 Ich weiss, damit schränkt man sich stark ein.

(Also nur noch Hochladen / Downloaden über Soul Weboberfläche möglich.

Was haltet Ihr davon? Oder ist das zu kurz gedacht?

 

Zuletzt bearbeitet: 15.04.2016 - 20:04

10 Antworten

Micha 11.04.2016 - 12:29

Hallo zusammen,

wir verstehen, dass einige Boxbesitzer bzw -betreuer den Samba-Dienst gerne einschränken oder ganz abschalten möchten. Da es hier keine Möglichkeit direkt aus SOUL heraus gibt und auch kurzfristig erstmal keine Änderung geplant ist, posten wir hier eine Anleitung, wie der Samba-Dienst beim Serverstart verhindert wird.
Diese erfordert Konsolen- bzw. SSH-Zugang zum Server und Linux-Grundkenntnisse. Sind diese nicht vorhanden kann ein Protonet Partner oder der Support mit dieser Anpassung beauftragt werden. Bitte vor selbständiger Durchführung unsere Supportrichtlinien beachten.

Diese Anleitung wurde im Support erstellt und mit aktuellem SOUL 2.12 erfolgreich getestet:

Nach Einloggen auf die Konsolenebene kann der Samba Dienst wie folgt beendet werden:
sv stop /home/protonet/dashboard/shared/services/enabled/samba/

Damit beim nächsten Neustart der Protonet Lösung der Samba Dienst automatisch nicht mehr gestartet wird, muss ein Local Patch hinterlegt werden.

Local Patches Verzeichnis erstellen
sudo mkdir /protonet/firmware/local_patches

In das neu erstellte Verzeichnis wechseln
cd /protonet/firmware/local_patches

Shellscript erstellen
sudo vim stop_samba.sh

Inhalt des Scriptes
#!/bin/sh

# move samba service for not having it started during protonet server start
mv /home/protonet/dashboard/shared/services/enabled/samba/ /home/protonet/dashboard/shared/services/

# the end

Micha 18.02.2016 - 12:51

Hallo protonet-user,

das wäre schon ein bisschen so wie Büros abzuschaffen, damit sich Mitarbeiter dort nicht gegenseitig anstecken können, anstatt Ihnen beizubringen, sich häufiger die Hände zu waschen und wenn sie krank sind zuhause zu bleiben…

Jeder Computernutzer sollte primär dafür sorgen, dass sein Gerät vor Sicherheitslücken bestmöglich gefeit ist durch aktuelle Updates, Firewalls, Virensignaturen – auch um andere nicht anzustecken 😉

Ein Knopf in SOUL ist theoretisch eine Massnahme, praktisch aber für weniger technische Benutzer und Boxinhaber kaum erklärbar zu machen, unter welchen Umständen der ein- oder ausgeschaltet sein sollte.

Wer das dennoch möchte, kann aber den Dienst über die Konsole stoppen:
sv stop /home/protonet/dashboard/shared/services/enabled/samba/

Das müsste dann mittels eines local_patch fixiert werden oder nach jedem Reboot erneut durchgeführt. Aber damit nimmst Du Dir halt die Möglichkeit Netzlaufwerke zu erstellen und streng genommen, müsstest Du das für WebDAV und AFP dann auch noch…

Herzliche Grüße
Micha

protonet-user 18.02.2016 - 14:33

Ja, hast recht. Derzeit grassieren leider Trojaner, die nicht erkannt werden. Und wenn gemountete LW am verseuchten Client mit normalen Anwendern hängen, wars das ggf. mit den Daten auf der Maya/Carla und sonstigen Fileservern.

Von daher ist der Konsolenstopp nur was zur schnellen Abschaltung aller Soul LW VOR einem Gau.;-(

Aber dann kann man sowieso erstmal Feierabend machen, bis auf die IT…..
Vg

Micha 18.02.2016 - 16:58

Tägliches Backup ist da das Beste, was man machen kann und auch dringend sollte.

Und wenn es nur darum geht täglich/nächtlich die wichtigsten Dateien einmal wegzusichern.

Micha 19.02.2016 - 19:45

Heise hat heute übrigens sehr gute Vorsorgetipps bzgl. des Krypto-Trojaners Locky gepostet:
http://www.heise.de/newsticker/meldung/Krypto-Trojaner-Locky-Was-tun-gegen-den-Windows-Schaedling-3112408.html

B. Hillers 06.04.2016 - 15:00

Bei den Vorsorgrtipps sind auch Anleitungen für Linux dargestellt:
http://www.heise.de/security/artikel/Erpressungs-Trojaner-wie-Locky-aussperren-3120956.html

Werdet ihr davon etwas umsetzen?
Wie kann ich einzelne Dateien aus dem Protonet Backup wieder herstellen ohne die komplette Box wieder herzustellen?

Ransomware ist eine Bedrohung die sich mit der Anzahl der User einer Box multipliziert. Wir habe mehr als hundert User und ein dementsprechendes hundertfaches Risiko.

Gruß Bernd

Micha 11.04.2016 - 12:43

Hallo Bernd,
ich habe in diesem Thread soeben eine Anleitung gepostet, wie der Samba-Dienst abgeschaltet werden kann.

Das derzeitige SOUL Backup enthält das Gesamtsystem und ist für die Wiederherstellung auf neuen bzw. Ersatzgeräten vorgesehen. Es gibt kein Boardmittel in SOUL, mit der einzelne Dateien daraus wiederhergestellt werden können. Es ist dennoch mögllich das Backuparchiv einzusehen und einzelne Dateien daraus zu extrahieren. Dies könnten wir über eine Supportleistung durchführen oder wer sich mit attic auskennt, kann sich hier sicherlich auch selbst helfen.

Alternativ könnten reine Dateibackups auf externe Festplatten oder Server erstellt werden. Über scp könnten alle oder ausgewählte Ordner regelmäßig direkt auf Backupsysteme geschrieben werden oder über Netzlaufwerkverbindungen (WebDAV als lokale Verbindung zum Beispiel) Dateien regelmäßig vom Server kopiert /synchronisiert werden.

Herzliche Grüße
Micha

Fab 10.04.2016 - 0:31

Ich sehe es auch so, dass hier dringender Handlungsbedarf besteht, denn die Verschlüsselungstrojaner sind eine reale Gefahr für die Daten auf der Box. Über die Box wird mit evtl. vielen externen Partner kollaborativ gearbeitet und da reicht ein infizierter Rechner von irgendeinem Kunden…

Ich würde das Mounten von Netzlaufwerken generell für Nutzer in der Rolle GAST verbieten, das Herunterladen bzw. Hochladen von Dateien über die Weboberfläche sollte für Gäste reichen.

Das Problem mit den inkonsistenten Rollen (bei jedem Contententtyp außer Dateien darf ein Gast nur seine selbst erstellten Inhalten bearbeiten oder löschen, ABER er darf ALLE Dateien löschen…-> siehe anderer Thread hier) spielt hier mit hinein. Wenn ein GAST andere Dateien weder ändern, umbenennen oder löschen dürfte, wäre auch das Problem mit den Verschlüsselungstrojanern für Externe (mit GASTrolle) nicht so akut. Bei den selbst administrierten Rechnern in der eigenen Institution (mit Rolle Benutzer) liegt es im eigenen Verantwortung- und Handlungsbereich, hier kann ich Vorsorge treffen – bei Externen jedoch nicht.

Solange es auch keine VERSIONIERUNG bei den Dateien gibt, ist auch das Wiederherstellen von durch Gäste veränderter Dateien schwierig/unmöglich. Natürlich kann man das Netzlaufwerk über den Client separat backuppen, aber eigentlich sollte das Backup der Box ja ausreichen.

Gruß Fabian.

Micha 11.04.2016 - 12:33

Hallo Fabian,
vielen Dank für das ausführliche Feedback.

Wir haben das hier diskutiert und soeben eine Anleitung, wie Samba abgeschaltet werden kann in diesem Thread gepostet.

Ich hoffe, der hilft Dir schonmal weiter.
Eine rollenspezifische Einschränkung wäre eine größere Änderung im System, die erstmal nicht angedacht ist.

Herzliche Grüße
Micha

LitServ 15.05.2016 - 10:00

Ich habe eine ergänzende Frage:

Ist das Backup, das ich regelmäßig in Soul anstoße, auf der _dauerhaft_ per USB angeschlossenen externen Platte vor Verschlüsselung sicher, falls ein Client einen Trojaner einschleppt?