FALLAS EN RSYNC

  • Estimada comunidad... mi nombre es Juan Manuel, de Argentina. Uso servidores OMV hace años en los distintos clientes con los que trabajo y tengo uno como servidor de RSYNC en mi oficina. Recientemente me han aparecido archivos HOW_TO_RECOVER.TXT en todas las carpetas compartidas cuando únicamente se tiene acceso de sólo lectura con mi credencial y sólo pueden escribir las credenciales de cada cliente. Lo único que se me ocurre es que sea un BUG del OMV pero quisiera saber si puedo controlar algo de mi servidor a fin de identificar qué puede estar sucediendo. Ya el hecho de que hayan copiado esos archivos en todas las carpetas me preocupa.


    Por otro lado, quisiera saber cómo poder actualizar o mantener actualizado por completo mi servidor... debo activar las actualizaciones automáticas de la comunidad y las beta? debo seleccionar todas las disponibles y darle subir?


    Recurro a ustedes por primera vez, disculpen las molestias y desde ya, muchas gracias!

  • Recientemente me han aparecido archivos HOW_TO_RECOVER.TXT en todas las carpetas compartidas cuando únicamente se tiene acceso de sólo lectura con mi credencial y sólo pueden escribir las credenciales de cada cliente.

    (En primer lugar, tenga en cuenta que Google traduce lo siguiente. Estoy seguro de que no es un español perfecto).


    Este no es un error de OMV.


    Si no puede acceder a sus documentos (o si son de solo lectura), parece un ataque de ransomware. Los archivos "How_to_recover.txt" probablemente expliquen el rasom involucrado. ¿Has leído alguno de ellos? (NO SIGA LOS CONSEJOS DE ESTOS ARCHIVOS).


    Si es un ransomware, confirme esto, debe encontrar qué máquina cliente es responsable del malware y limpiarla o desconectarla del servidor.


    Si los documentos en el servidor son de solo lectura, eso se puede arreglar con un complemento. Sin embargo, si está involucrado el cifrado, ese puede ser un problema que no se puede resolver.


    Si bien hacer actualizaciones puede prevenir el malware, no lo ayudarán en este momento. La comunidad o las actualizaciones beta tampoco ayudarán. Se espera que agregue actualizaciones manualmente mediante el sistema, administración de actualizaciones.

  • Creo que es así, me temo que has sido infectado y que en los archivos HOW_TO_RECOVER.TXT te dicen lo que debes pagar para recuperar los archivos.



    El consejo habitual, es no pagar y recuperar un backup limpio , suerte con el trabajo amigo.

  • Muchas gracias por sus respuestas... lo que sucedió y que me di cuenta después es que me borraron los archivos de todas las carpetas compartidas dentro del servidor rsync. No encontré nada encriptado pero sí, las carpetas de cada empresa vacias. Lo que hice en el día de ayer fue cambiar el puerto del rsync y en las empresas modifiqué las tareas para que respalden a la ruta correcta. También cambié las claves de cada cliente que conecta a mi servidor.


    Además del usuario ADMIN con el que logueo por web, debería cambiar la clave del ROOT? como el único puerto que tengo portforwarding es el del servicio rsync, modifiqué esos parámetros nada más.


    Ahora, si llegase a tener el mismo ataque contra mi servidor, no sabría qué más hacer. En unos días ya conecto los últimos dos clientes (empresas) por VPN a mi oficina y sacare el puerto publicado en el router así también evito que venga por ahí la cosa.


    Qué les parece? nuevamente les agradezco por sus respuesta.


    Juan Manuel

  • lo que sucedió y que me di cuenta después es que me borraron los archivos de todas las carpetas compartidas dentro del servidor rsync. No encontré nada encriptado pero sí, las carpetas de cada empresa vacias. Lo que hice en el día de ayer fue cambiar el puerto del rsync y en las empresas modifiqué las tareas para que respalden a la ruta correcta.

    Espero sinceramente que tenga una copia de seguridad de los datos.


    Además del usuario ADMIN con el que logueo por web, debería cambiar la clave del ROOT? como el único puerto que tengo portforwarding es el del servicio rsync, modifiqué esos parámetros nada más.


    (Primero, tenga en cuenta que no soy un experto en compromisos. En realidad, nunca he visto uno de primera mano o tratado de limpiar uno. Mi preferencia es estar tan encerrado, un compromiso es casi imposible. Pero yo saber que la seguridad súper estricta no es posible con las empresas).


    Cambiaría la contraseña de root, pero podría no ser así como entraron. Por lo general (no siempre) los piratas informáticos acceden a los datos de un servidor a través de una estación de trabajo cliente comprometida.


    Creo que la ruta más rápida hacia la seguridad es tener todos los clientes conectados a las VPN. Después de eso, si todavía hay un problema, sabrá que proviene de un cliente computer.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!