[Eisfair] In Zusammenhang mit Locky Frage an die Sambaexperten
Olaf Jaehrling
eisfair at ojaehrling.de
Mi Mär 2 22:14:04 CET 2016
Hallo Alex,
Alex Busam schrieb am 02.03.2016 um 19:08:
> http://www.heise.de/security/artikel/Erpressungs-Trojaner-wie-Locky-aussperren-3120956.html
Danke für den Tip. Das kriege ich bestimmt auch in BFB rein. Muss mal
mit Tom Bork quatschen, wie wir das mit samba hinbekommen.
Jürgen, bekomme ich die Zeilen
[global]
full_audit:failure = none
full_audit:success = pwrite write rename
full_audit:prefix = IP=%I|USER=%u|MACHINE=%m|VOLUME=%S
full_audit:facility = local7
full_audit:priority = NOTICE
und bei jedem zu überwachenden [Volume]
vfs objects = full_audit
irgendwie vernüftig rein, ohne das jeder Nutzer das händisch machen muss?
Bei mir klappt zumindest schonmal der logeintrag:
Mar 2 22:12:01 server smbd:
IP=192.168.10.8|USER=movies|MACHINE=virtual|VOLUME=movies|pwrite|ok|musik/Rolling
Stones/VIDEO_TS/VIDEO_TS.BUP
Wenn da jetzt irgendwas mit locky stehen würde, würde BFB diese IP
blocken. Theoretisch könnte BFB sogar samba anhalten. Was ich
preferieren würde.
Danke und Gruß
Olaf
Mehr Informationen über die Mailingliste Eisfair