Лог записи на подключенный диск

[john_wayne]

Добрый день.

Есть кинетик, к нему подключен и расшарен сетевой диск. На диске периодически появляются "вирусы". Все клиенты проверены на тыщу раз - никакой заразы найти не поучается. Так же иногда "вирусы" появляются ночью, когда все клиенты отключены. После каждого такого случая пароли меняются на уникальные. Началось это после установки OPKG - может совпадение а может и нет.

В логах кинетика ничего найти не получается, потому что обнаруживаются "вирусы" далеко не сразу.

Включение контроля доступа к папкам ничего не даёт, т.к. там нет разграничения прав доступа и с точки зрения ФС владелец всех файлов - root.

Хотелось бы понимать какой процесс инициирует запись файлов, что бы хотя бы понимать записываются они на диск по шаре или самим кинетиком.

Может кто-нибудь знает как нечто подобное можно реализовать на кинетике?

[Mamay]

В 01.02.2022 в 08:48, john_wayne сказал:

Есть кинетик, к нему подключен и расшарен сетевой диск. На диске периодически появляются "вирусы". 

Крайне похоже письмо Вани "на деревню дедушке". 

По ходу пьессы, никак не понять,что есть "расшарен сетевой диск". Может он светится в мир всеми возможными протоколами, да к тому же без пароля?

Вирусы в кавычках понимать как? Квазивирусы? Мегавирусы?

Вопросов больше, чем ответов. Или больше сведений, либо к официалам.. 

[john_wayne]

Официалы верны традициям - стандартными средствами сделать ничего нельзя, обратитесь на форум.

"Вирусы" понимать как вредоносное ПО появляющееся на диске или вредоносные действия с диском. Появление sfx архивов с майнерами нельзя назвать вирусом, т.к. в них нет механизма самораспространения. То что диск оказался зашифрован (на самом деле просто покоцана NTFS) тоже нельзя назвать вирусом, т.к. есть только уничтоженные данные, а кто это сделал - неизвестно.

Диск расшарен прошивочным модулем доступа к файлам (который нынче tsmb), никаких дополнительных настроек не делал.

А зайти по smb по белому адресу я как-то не догадался. Действительно с некоторых адресов получается подключиться - разные города, разные страны, взаимосвязи никакой.

tcp        0      0 192.168.250.1:445       178.49.104.201:57144    ESTABLISHED
tcp        0      0 192.168.250.1:445       80.91.17.66:50805       ESTABLISHED
tcp        0      0 192.168.1.1:445         192.168.1.3:52213       ESTABLISHED
tcp        0      0 192.168.250.1:445       195.13.217.87:53726     ESTABLISHED
tcp        0      0 192.168.250.1:445       195.154.161.32:51596    ESTABLISHED
 

При этом с некоторых адресов подключиться не получается.

Разобрал весь iptables, ничего подозрительного не нашёл. Заткнул пока дыру принудительным дропом входящих на 445-й, вроде работает как задумано.

Пойду снова в официальную поддержку может расскажут как так получается.

Спасибо за наводку. У меня даже мыслей не возникло что iptables с прошивочными (дефолтными) правилами могут работать криво и надо просто проверить. При том что я уже находил один баг в iptables, который, кстати, отказались устранять.

 

Но вцелом суть темы от этого не меняется:

Хотелось бы понимать какой процесс инициирует запись файлов, что бы хотя бы понимать записываются они на диск по шаре или самим кинетиком.

Всё остальное написано что бы проходящие мимо не задавали традиционный для рунета вопрос - "а зачем оно тебе надо?"

[Mamay]

17 часов назад, john_wayne сказал:

Хотелось бы понимать какой процесс инициирует запись файлов, что бы хотя бы понимать записываются они на диск по шаре или самим кинетиком.

Само собой разумеется что по шаре извне, ибо даже технически непонятно, как внезапно ndms станет писать "вирусы" из ниоткуда.

Вы там entware вскользь упоминали. Для чистоты эксперимента, временно отключите её, пока ищите "виновника" торжества.