Интересные сведения. То есть, он ничего не шифрует и тупо затирает первые 25 секторов, включая partition table.
В современных системах разделы выровнены по 4кб блокам (в старых версиях выровнены по цилиндрам и начинались после 64 сектора), значит содержимое диска можно прочитать, но надо знать начальные и конечные сектора разделов.
Если бы раздел был один, это было бы очень просто: создать новую mbr и partition table с правильной геометрией и правильным начальным сектором, этого достаточно чтобы раздел прочитался.
Но в windows 7 и более поздних их там два и первым идёт скрытый системный раздел. Надо на такой же системе посмотреть его точный размер, начальный и конечный сектор и начальный сектор второго раздела.
C помощью линуксового dd и fdisk можно слить имидж с диска, поэкспериментировать с записью разных partition table и попытаться подмонтировать раздел. Чем чёрт не шутит, вдруг откроется.
Останется ещё путь загрузки дроппера через заражённые документы Microsoft Office. Поэтому на офисные пакеты тоже надо поставить обновления и удалить wordpad.
Против кандидозного стоматита есть старое, проверенное средство — метиленовый синий. В аптеках продаётся в виде водного раствора, стоит недорого. Если нет в аптеке — можно купить как химический реактив и развести водой.
А против стафилококков самое убойное средство — жёсткое коротковолновое ультрафиолетовое излучение, уничтожает даже штаммы устойчивые к антибиотикам, в том числе находящиеся во внешней среде.
Модуль tarpit открывает соединение, не передаёт в него никакие данные и не закрывает по своей инициативе. Ресурсов на это тратится меньше чем на нормальное соединение, но всё равно больше чем если прописать -j DROP
Это не останавливает сканеры, потому что они выполняют TCP SYN сканирование открытых портов и подключаются в многопоточном режиме с интенсивностью 1-2 соединения в минуту (если было бы чаще — системы обнаружения атак среагировали бы на это как на флуд).
Ещё я обнаружил, что некоторые провайдеры блокируют порты 135, 137, 138, 139, 445, типа так борются с интернет-червями и паразитным трафиком.
Нормальные пользователи не заходят на 445 порт из интернета, только какие-то сканеры всё время ломятся. Включил лог — за 5 минут поймал несколько попыток, причём samba там не установлена.
В первую очередь нужно закрыть для доступа из интернета порты используемые SMB и не привязывать самбу к интерфейсу напрямую доступному из интернета. Протоколу SMB в интернете нечего делать вообще, он там даже не маршрутизируется нормально. На серверах доступных только из интернета лучше вообще не устанавливать пакет samba, он там не нужен, а соответствующая функциональность реализуется с помощью sftp и openLDAP.
Во вторую очередь, оценить вероятность атаки из внутренней сети. Если это маленькая домашняя сеть внутри квартиры, состоящая из пары компьютеров, роутера и NAS — успокоиться и расслабиться, закрытие портов для доступа извне её достаточно защитит. Если это сеть офиса к которой имеют доступ много разных людей — лучше обновить самбу.
Если нет обновлённого пакета samba для вашего дистрибутива, придётся скачать патчи с https://www.samba.org/samba/history/security.html добавить в пакет с исходным кодом из дистрибутива и перекомпилировать. Также рекомендуется написать в багтрекер дистрибутива и связаться с разработчиками.
Если samba не используется в качестве контроллера домена, добавить в smb.conf следующую строку:
nt pipe support = no
Гостевой вход (без логина и пароля) в samba по умолчанию происходит под пользователем nobody для предотвращения утечки информации. Если вы добавляете пользователей samba, они должны быть непривилегированными. Не добавляйте туда root.
Обнаруженные сканированием уязвимые хосты в интернете — это 100% результат неправильной настройки, просто не повторяйте ошибок тех кто их настраивал и проблем не будет.
В современных системах разделы выровнены по 4кб блокам (в старых версиях выровнены по цилиндрам и начинались после 64 сектора), значит содержимое диска можно прочитать, но надо знать начальные и конечные сектора разделов.
Если бы раздел был один, это было бы очень просто: создать новую mbr и partition table с правильной геометрией и правильным начальным сектором, этого достаточно чтобы раздел прочитался.
Но в windows 7 и более поздних их там два и первым идёт скрытый системный раздел. Надо на такой же системе посмотреть его точный размер, начальный и конечный сектор и начальный сектор второго раздела.
C помощью линуксового dd и fdisk можно слить имидж с диска, поэкспериментировать с записью разных partition table и попытаться подмонтировать раздел. Чем чёрт не шутит, вдруг откроется.
А против стафилококков самое убойное средство — жёсткое коротковолновое ультрафиолетовое излучение, уничтожает даже штаммы устойчивые к антибиотикам, в том числе находящиеся во внешней среде.
Это не останавливает сканеры, потому что они выполняют TCP SYN сканирование открытых портов и подключаются в многопоточном режиме с интенсивностью 1-2 соединения в минуту (если было бы чаще — системы обнаружения атак среагировали бы на это как на флуд).
Ещё я обнаружил, что некоторые провайдеры блокируют порты 135, 137, 138, 139, 445, типа так борются с интернет-червями и паразитным трафиком.
Нормальные пользователи не заходят на 445 порт из интернета, только какие-то сканеры всё время ломятся. Включил лог — за 5 минут поймал несколько попыток, причём samba там не установлена.
В первую очередь нужно закрыть для доступа из интернета порты используемые SMB и не привязывать самбу к интерфейсу напрямую доступному из интернета. Протоколу SMB в интернете нечего делать вообще, он там даже не маршрутизируется нормально. На серверах доступных только из интернета лучше вообще не устанавливать пакет samba, он там не нужен, а соответствующая функциональность реализуется с помощью sftp и openLDAP.
Во вторую очередь, оценить вероятность атаки из внутренней сети. Если это маленькая домашняя сеть внутри квартиры, состоящая из пары компьютеров, роутера и NAS — успокоиться и расслабиться, закрытие портов для доступа извне её достаточно защитит. Если это сеть офиса к которой имеют доступ много разных людей — лучше обновить самбу.
Если нет обновлённого пакета samba для вашего дистрибутива, придётся скачать патчи с https://www.samba.org/samba/history/security.html добавить в пакет с исходным кодом из дистрибутива и перекомпилировать. Также рекомендуется написать в багтрекер дистрибутива и связаться с разработчиками.
Если samba не используется в качестве контроллера домена, добавить в smb.conf следующую строку:
nt pipe support = no
Гостевой вход (без логина и пароля) в samba по умолчанию происходит под пользователем nobody для предотвращения утечки информации. Если вы добавляете пользователей samba, они должны быть непривилегированными. Не добавляйте туда root.
Обнаруженные сканированием уязвимые хосты в интернете — это 100% результат неправильной настройки, просто не повторяйте ошибок тех кто их настраивал и проблем не будет.
sudo apt-get remove --purge samba
Или под redhat
rpm -e samba