Erpressungstrojaner Locky aussperren
- Carsten Rehberg
Owned by Carsten Rehberg
Den vollständigen Text erhalten Sie auf der Heise-Seite Erpressungs-Trojaner wie Locky aussperren.
Schritt-für-Schritt-Anleitung
erforfderliche Schritte:
- fail2ban installieren
- Samba-Installation konfigurieren
- fail2ban konfigurieren
fail2ban installieren
CentOS
yum install fail2ban
Debian
apt-get install fail2ban
Samba konfigurieren
Anpassen der Datei /etc/samba/smb.conf im Bereich Global
full_audit:failure = none full_audit:success = pwrite write rename full_audit:prefix = IP=%I|USER=%u|MACHINE=%m|VOLUME=%S full_audit:facility = local7 full_audit:priority = NOTICE
und bei jedem zu überwachenden Volume
vfs objects = full_audit
fail2ban konfigurieren
in der Datei /etc/fail2ban/filter.d/samba.conf folgende Filterdefinition setzen:
[Definition]
failregex = smbd.*\:\ IP=<HOST>\|.*\.locky$
smbd.*\:\ IP=<HOST>\|.*_Locky_recover_instructions\.txt$
ignoreregex =
Scharf schalten kann man dies mit der Datei /etc/fail2ban/jail.d/samba.conf
[samba]
filter = samba
enabled = true
action = iptables-multiport[name=samba, port="135,139,445,137,138", protocol=tcp]
mail[name=samba, dest=admin@MYDOMAIN.DE]
logpath = /var/log/syslog
maxretry = 1 #Schon der erste Versuch ist strafbar
findtime = 600 #Schaut sich immer die letzen 10 Minuten an
bantime = 86400 #Ban für einen ganzen Tag
Verwandte Artikel
Filter by label
There are no items with the selected labels at this time.
Erpressungs-Trojaner wie Locky aussperren