লিনাক্স সিস্টেমে "ওয়ানাক্রাই": আপনি কীভাবে নিজেকে রক্ষা করবেন?


73

একটি দ্রুত 7 আর্টিকেল অনুসারে কিছু দুর্বল সাম্বা সংস্করণ লিনাক্স সিস্টেমে রিমোট কোড প্রয়োগের অনুমতি দেয়:

যদিও WannaCry ransomworm উইন্ডোজ সিস্টেম প্রভাবিত এবং পরিষ্কার উপসম পদক্ষেপ সঙ্গে সহজে শনাক্তযোগ্য ছিল, সাম্বা দুর্বলতার Linux এবং ইউনিক্স সিস্টেম প্রভাবিত হবে এবং প্রাপ্তির বা উপযুক্ত remediations মোতায়েন গুরুত্বপূর্ণ প্রযুক্তিগত অবমুক্ত উপস্থিত পারে।

জন্য CVE-2017-7494

৩.০.০ এর পরের সাম্বার সমস্ত সংস্করণ একটি রিমোট কোড এক্সিকিউশন দুর্বলতার পক্ষে দুর্বল, দূষিত ক্লায়েন্টকে একটি লিখিত অংশে একটি ভাগ করা লাইব্রেরি আপলোড করতে দেয় এবং তারপরে সার্ভারটি এটি লোড করে এবং চালিত করে।

সম্ভাব্য আক্রমণ পরিস্থিতি:

দুটি কারণ থেকে শুরু:

  • কিছু লিনাক্স বিতরণে সাম্বা দুর্বলতা এখনও স্থির হয়নি।
  • কিছু লিনাক্স কার্নেল সংস্করণে একটি প্যাচড স্থানীয় সুবিধাগুলি বৃদ্ধির দুর্বলতা রয়েছে (উদাহরণস্বরূপ, 4.8.0-41-জেনেরিক উবুন্টু কার্নেলের সিভিই-2017-7308)।

একটি আক্রমণকারী একটি লিনাক্স মেশিন অ্যাক্সেস করতে পারে এবং স্থানীয় অ্যাক্সেস অর্জনের জন্য দুর্বলতা ব্যবহার করে সুবিধাগুলি উন্নত করতে পারে এবং লিনাক্সের জন্য এই মক আপ ওয়াংনাক্রি র্যানসমওয়্যারের অনুরূপ ভবিষ্যতের একটি সম্ভাব্য র‌্যামসওয়্যার ইনস্টল করতে পারে ।

হালনাগাদ

একটি নতুন প্রবন্ধ "সতর্কতা! হ্যাকার্স লিনাক্স সিস্টেমগুলি হ্যাক করতে" সাম্বাক্রি ত্রুটি "ব্যবহার শুরু করেছেন" একটি লিনাক্স মেশিনকে আক্রমণ করার জন্য সাম্যাব্যাক্রির ত্রুটিটি কীভাবে ব্যবহার করবেন তা প্রদর্শন করে।

ক্যাসপারস্কি ল্যাবের গবেষকদলের দল দ্বারা প্রতিষ্ঠিত হানিপটগুলি একটি ম্যালওয়্যার ক্যাম্পেইন ধরেছে যা ক্রিপ্টোকারেন্সি মাইনিং সফ্টওয়্যার দ্বারা লিনাক্স কম্পিউটারগুলিকে সংক্রামিত করার জন্য সাম্বাক্রি দুর্বলতাকে কাজে লাগাচ্ছে বলে এই ভবিষ্যদ্বাণীটি বেশ নির্ভুল হয়ে উঠেছে।

অপর এক সিকিউরিটি গবেষক ওমরি বেন বাসাত স্বতন্ত্রভাবে একই অভিযানটি আবিষ্কার করেছিলেন এবং এর নাম দিয়েছিলেন "ইটার্নাল মাইনার"

গবেষকদের মতে, সাম্বার ত্রুটি জনসমক্ষে প্রকাশিত হওয়ার এবং "সিপিউমিনার" এর একটি আপগ্রেড সংস্করণ ইনস্টল করার পরে "অণু" ডিজিটাল মুদ্রার খনন সফ্টওয়্যার ইনস্টল করার এক সপ্তাহ পরে হ্যাকারদের একটি অজানা দল লিনাক্স পিসি হাইজ্যাক করা শুরু করেছে।

সাম্বাক্রি দুর্বলতা ব্যবহার করে দুর্বল মেশিনগুলির সাথে সমঝোতার পরে, আক্রমণকারীরা লক্ষ্যবস্তু সিস্টেমে দুটি পে-লোড চালায়:

INAebsGB.so - একটি বিপরীত শেল যা আক্রমণকারীদের দূরবর্তী অ্যাক্সেস সরবরাহ করে।

cblRWuoCc.so - একটি পিছনের যেটিতে ক্রিপ্টোকারেন্সি খনির ইউটিলিটিগুলি রয়েছে - সিপিইউমিনিয়ার।

ট্রেন্ডল্যাব প্রতিবেদনটি 18 জুলাই, 2017 এ পোস্ট করা হয়েছে: লিনাক্স ব্যবহারকারীরা একটি নতুন হুমকি হিসাবে সাম্বাক্রিকে এক্সপ্লিট করে আপডেট করার অনুরোধ করেছে

আক্রমণ থেকে রক্ষা পেতে আমি কীভাবে একটি লিনাক্স সিস্টেম সুরক্ষিত করব?


22
WannaCry হ'ল উইন্ডোজ ম্যালওয়্যার। একই প্রোটোকলের এই সম্পর্কহীন বাস্তবায়নের সাথে এই সম্পর্কহীন সমস্যাটি ব্যবহার করে একটি ইউনিক্স ভাইরাস লেখা যেতে পারে, তবে উইন্ডোজ ম্যালওয়্যারের সাথে এর কোনও যোগসূত্র নেই। লিনাক্সের জন্য আপনি ওয়ানাক্রাইকে দেওয়া এই লিঙ্কটি একটি প্রতারণা, উত্সটি স্কিমিং থেকে দেখে মনে হচ্ছে কিছু গ্রাফিকাল "আপনার নিজের গি তৈরি করুন" - সফ্টওয়্যার থেকে আউটপুট, কোনও আসল প্রোগ্রাম ছাড়া একটি জিইআইআই যা কিছুই করে না does
কেউ

2
@ জিএডি 3 আর আমার আইফোনটি গুগল ট্রান্সলেট / ক্যামেরা মোডের সাহায্যে চীনা ভাষায় দেওয়া মন্তব্যগুলিতে বলা হয়েছে যে উত্সটি সম্পূর্ণ নয়। আমি সিভিই এর চারপাশে প্রশ্নটি পুনরায় কাজ করার পরামর্শ দেব, গিথুব লিঙ্কটি মুছে ফেলা এবং র্যানসওয়ওয়ার সম্পর্কে এখনও নেই যা এখনও নেই; অথবা আপনি যদি এখনও এই ধারণাটি নিয়ে কাজ করতে চান তবে গিথুব লিঙ্কটি স্পষ্ট করে তোলা সেই ধারণার একটি উপহাস
রুই এফ রিবেইরো

8
@ জিএডি 3 আর হ্যাঁ, যদি কেউ আমার সিস্টেমে উচ্চ সুবিধাগুলি দিয়ে দূর থেকে অ্যাক্সেস করতে পারে তবে আমার হার্ড ড্রাইভটি এনক্রিপ্ট করার জন্য দেশীয় লিনাক্স ইউটিলিটিগুলি ব্যবহার করা এবং ছদ্মবেশে এর মতো একটি কিউটি জিইউআই লিখতে পীড়া কমবে না। WannaCry এর সমস্ত আসল বৈশিষ্ট্য (যেমন ছড়িয়ে দেওয়া) উইন্ডোজ শোষণের উপর নির্ভর করে। "WannaCry" উল্লেখ করা ক্লিক-টোপ, খাঁটি এবং সাধারণ।
কেউ

6
@ নোবডি যথেষ্ট ন্যায্য হওয়ার জন্য, আমি বিশ্বাস করি যে ওপি ভাল বিশ্বাসে এবং এটি কেবলমাত্র জিইউআই হওয়ার বিষয়ে সচেতন নয়; আমরা মন্তব্য পড়তে চাইনিজ নাগরিক নই এবং তিনি যেমন বলেছেন যে তিনি উত্স কোড পড়ার পক্ষে খুব বেশি পারদর্শী নন; IMO দুটি দুর্বলতার মধ্যে সমান্তরাল, সময় দেওয়াও যথাযথ। কিছুটা ckিল দিন। তা সত্ত্বেও, সিভিই এর বিচ্ছিন্নতা নিজেই উদ্বেগজনক।
রুই এফ রিবেইরো

3
আইএমও আমি প্রশ্নটি বন্ধ করার পরামর্শ দেব না, যদি কারও আলাদা ধারণা থাকে তবে এগিয়ে যান। আমি প্রশ্ন পাঠ্যটি পুনরায় কাজ করেছি যাতে এটি এখনও তৈরি হয়নি এমন কোনও রেনসওয়্যারের উল্লেখ না করে। আমি যে কর্মসূচির কথা উল্লেখ করেছি তা আমাদের এখনও কোনও উত্তরাধিকার ব্যবস্থায় অন্তত কার্যকর ছিল।
রুই এফ রিবেইরো

উত্তর:


102

এই সাম্বার নতুন দুর্বলতাটিকে ইতিমধ্যে "সাম্যাব্যাক্রি" বলা হচ্ছে, অন্যদিকে শোষিতরা নিজেরাই "চিরস্থায়ী লাল সাম্বা" উল্লেখ করেছে, টুইটারে (চাঞ্চল্যকরভাবে) ঘোষণা করেছে:

সাম্বা বাগ, ট্রিগার করার জন্য মেটাসস্প্লিট ওয়ান-লাইনারটি কেবল: সরল ক্রেট_পাইপ ("/ পাথ / টু / টার্গেট.সো")

সম্ভাব্যভাবে প্রভাবিত সাম্বা সংস্করণগুলি সাম্বা 3.5.0 থেকে 4.5.4 / 4.5.10 / 4.4.14 পর্যন্ত।

যদি আপনার সাম্বা ইনস্টলেশনটি বেলো বর্ণিত কনফিগারেশনের সাথে মিলিত হয় তবে ফিক্স / আপগ্রেড ASAP করা উচিত কারণ ইতিমধ্যে সেখানে শোষণ রয়েছে , অন্য পাইথন এবং মেটাস্প্লিট মডিউলগুলিতে অন্য শোষণ রয়েছে।

আরও আকর্ষণীয়ভাবে যথেষ্ট, ইতিমধ্যে হাননেট প্রকল্পের একটি জানা হানিপোটে অ্যাড-অন রয়েছে , ডানিয়ায় ওয়ানা ক্রাই এবং সাম্বাক্রি প্লাগ-ইন উভয়ই ।

সাম্বা কান্নাকাটি ইতিমধ্যে (আব) আরও ক্রিপ্টো- খনিজদের "ইটার্নাল মাইনার" ইনস্টল করতে ব্যবহৃত হয়েছিল বা ভবিষ্যতে ম্যালওয়্যার ড্রপার হিসাবে ডাবল ডাউন হবে বলে মনে হচ্ছে ।

ক্যাসপারস্কি ল্যাব থেকে গবেষকদের দল দ্বারা প্রতিষ্ঠিত হানিপটগুলি একটি ম্যালওয়্যার ক্যাম্পেইন ধরেছে যা লিনাক্স কম্পিউটারকে ক্রিপ্টোকারেন্সি মাইনিং সফ্টওয়্যার দ্বারা সংক্রামিত করার জন্য সাম্বাক্রি দুর্বলতা কাজে লাগিয়েছে। অপর এক সিকিউরিটি গবেষক ওমরি বেন বাসাত স্বতন্ত্রভাবে একই অভিযান আবিষ্কার করেছিলেন এবং এর নাম দিয়েছিলেন "ইটার্নাল মাইনার।"

সাম্বা ইনস্টল করা সিস্টেমগুলির জন্য প্রস্তাবিত কর্মসংস্থান (এটি সিভিই নোটিশে উপস্থিত রয়েছে) আপডেট করার আগে এটি যুক্ত করছে smb.conf:

nt pipe support = no

(এবং সাম্বা পরিষেবাটি পুনরায় চালু করা)

এটি এমন একটি সেটিংস অক্ষম করার কথা বলে যা উইন্ডোজ আইপিসি নামক পাইপ পরিষেবাগুলিতে বেনামে সংযোগ তৈরির ক্ষমতা চালু / বন্ধ করে দেয়। থেকে man samba:

এই গ্লোবাল বিকল্পটি বিকাশকারীরা উইন্ডোজ এনটি / 2000 / এক্সপি ক্লায়েন্টকে এনটি-নির্দিষ্ট এসএমবি আইপিসি ipes পাইপগুলির সাথে সংযোগ স্থাপনের ক্ষমতা বা অনুমতি দেওয়ার জন্য ব্যবহার করে। একজন ব্যবহারকারী হিসাবে আপনার কখনই ডিফল্টটিকে ওভাররাইড করার প্রয়োজন হবে না।

তবে আমাদের অভ্যন্তরীণ অভিজ্ঞতা থেকে মনে হচ্ছে এটি ঠিক করা পুরানোের সাথে সামঞ্জস্য নয়? উইন্ডোজ সংস্করণ (কমপক্ষে কিছু? উইন্ডোজ 7 ক্লায়েন্টগুলি এর সাথে কাজ করে না বলে মনে হয় nt pipe support = no) এবং যেমন প্রতিকারের পথটি চূড়ান্ত ক্ষেত্রে সাম্বাকে ইনস্টল বা সংকলনের ক্ষেত্রে যেতে পারে।

আরও সুনির্দিষ্টভাবে, এই ফিক্সটি উইন্ডোজ ক্লায়েন্টদের থেকে শেয়ারগুলির তালিকা অক্ষম করে এবং যদি প্রয়োগ করা হয় তবে এটিকে ব্যবহার করতে সক্ষম হওয়ার জন্য তাদের ভাগের পুরো পথটি ম্যানুয়ালি নির্দিষ্ট করতে হবে।

অন্যান্য পরিচিত কাজটি হ'ল সাম্বা শেয়ারগুলি noexecবিকল্পের সাথে মাউন্ট করা আছে তা নিশ্চিত করা । এটি মাউন্ট করা ফাইল সিস্টেমে থাকা বাইনারিগুলির কার্যকারিতা রোধ করবে।

সরকারী নিরাপত্তা সোর্স কোড প্যাচ হয় এখানে থেকে samba.org নিরাপত্তা পৃষ্ঠায়

দেবিয়ান ইতিমধ্যে গতকাল (24/5) একটি দরজা বাইরে আপডেট করেছে, এবং সংশ্লিষ্ট সুরক্ষা বিজ্ঞপ্তি ডিএসএ-3860-1 সাম্বা

দুর্বলতাটি সেন্টোস / আরএইচইএল / ফেডোরায় সংশোধন করা হয়েছে এবং উত্পন্ন হয়েছে কিনা তা যাচাই করতে, করুন:

#rpm -q –changelog samba | grep -i CVE
– resolves: #1450782 – Fix CVE-2017-7494
– resolves: #1405356 – CVE-2016-2125 CVE-2016-2126
– related: #1322687 – Update CVE patchset

এখন একটি nmapসনাক্তকরণ স্ক্রিপ্ট রয়েছে: samba-vuln-cve-2017-7494.nse সাম্বা সংস্করণগুলি সনাক্ত করার জন্য, বা আরও ভাল nmapস্ক্রিপ্ট যা পরিষেবাটি http://seclists.org/nmap-dev/2017/q2/att-110/samba-vuln-cve এ অরক্ষিত কিনা তা পরীক্ষা করে -2017-7494.nse , এটিতে অনুলিপি করুন /usr/share/nmap/scriptsএবং তারপরে nmapডাটাবেস আপডেট করুন বা নীচে এটি চালান:

nmap --script /path/to/samba-vuln-cve-2017-7494.nse -p 445 <target>

সাম্বা পরিষেবা রক্ষার জন্য দীর্ঘমেয়াদী ব্যবস্থাগুলি সম্পর্কে: এসএমবি প্রোটোকলটি কখনই বড় আকারে সরাসরি ইন্টারনেটে সরবরাহ করা উচিত নয়।

এটি এসএমবি ছাড়াও সবসময়ই একটি সংশ্লেষিত প্রোটোকল হয়ে থাকে এবং এই ধরণের পরিষেবাদিগুলি অবশ্যই অভ্যন্তরীণ নেটওয়ার্কগুলিতে সীমাবদ্ধ করা উচিত [যেগুলিতে তারা পরিবেশন করা হচ্ছে]।

দূরবর্তী অ্যাক্সেসের প্রয়োজন হলে, বাড়িতে বা বিশেষত কর্পোরেট নেটওয়ার্কগুলিতে, সেই অ্যাক্সেসগুলি ভিপিএন প্রযুক্তি ব্যবহার করে আরও ভাল করা উচিত।

যথারীতি, এই পরিস্থিতিতে কেবলমাত্র সর্বনিম্ন পরিষেবাগুলি ইনস্টল এবং সক্রিয় করার ইউনিক্স নীতিটি পরিশোধ করে না।

নিজেই শোষণ থেকে নেওয়া:

শাশ্বত লাল সাম্বা শোষণ - CVE-2017-7494।
দুর্বল সাম্বা সার্ভারকে মূল প্রসঙ্গে একটি ভাগ করা লাইব্রেরি লোড করতে দেয়।
সার্ভারের কোনও গেস্ট অ্যাকাউন্ট থাকলে শংসাপত্রগুলির প্রয়োজন হয় না।
রিমোট শোষণের জন্য আপনার কমপক্ষে একটি ভাগের লেখার অনুমতি থাকতে হবে।
শাশ্বত রেড সাম্বা সার্ভারটি যে শেয়ারটি লিখতে পারে তার জন্য স্ক্যান করবে। এটি দূরবর্তী অংশের পুরোপথটিও নির্ধারণ করবে।

    For local exploit provide the full path to your shared library to load.  

    Your shared library should look something like this

    extern bool change_to_root_user(void);
    int samba_init_module(void)
    {
        change_to_root_user();
        /* Do what thou wilt */
    }

এটি SELinux সক্ষম থাকা সিস্টেমগুলি শোষণের পক্ষে ঝুঁকিপূর্ণ নয় বলেও পরিচিত।

7 বছরের পুরানো সাম্বা ত্রুটি হ্যাকারদের দূরবর্তীভাবে কয়েক হাজার লিনাক্স পিসিতে অ্যাক্সেস করতে দেয় See

শোডান কম্পিউটার সার্চ ইঞ্জিন অনুসারে, ৪৮৫,০০০ এরও বেশি সাম্বা-সক্ষম কম্পিউটারগুলি ইন্টারনেটে 445 বন্দর উন্মুক্ত করেছে, এবং র‌্যাপিড 7-এর গবেষকদের মতে, 104,000 এরও বেশি ইন্টারনেট-এক্সপোজড এন্ডপয়েন্টগুলি সাম্বার দুর্বল সংস্করণে চলতে দেখা গেছে, এর মধ্যে 92,000 সাম্বার অসমর্থিত সংস্করণগুলি চলছে।

যেহেতু সাম্বা লিনাক্স এবং ইউএনআইএক্স সিস্টেমে প্রয়োগ করা এসএমবি প্রোটোকল, তাই কিছু বিশেষজ্ঞ বলছেন এটি "আটার্নাল ব্লুয়ের লিনাক্স সংস্করণ", যা ওয়াঙ্কাক্রি রেনসওয়ওয়ার দ্বারা ব্যবহৃত।

... নাকি আমার সাম্বাক্রি বলা উচিত?

এই দুর্বলতার সংখ্যা এবং সহজে এই দুর্বলতাটিকে কাজে লাগাতে স্বাচ্ছন্দ্য বজায় রেখে সাম্বা ত্রুটিটি পোড়ানোর ক্ষমতা সহ বৃহত্তর পর্যায়ে ব্যবহার করা যেতে পারে।

নেটওয়ার্ক-সংযুক্ত স্টোরেজ (এনএএস) ডিভাইসগুলি [যে লিনাক্সও চালায়] সহ হোম নেটওয়ার্কগুলিও এই ত্রুটির জন্য ঝুঁকির মধ্যে পড়তে পারে।

আরও দেখুন একটি সামান্য কোড-এক্সিকিউশন বাগটি সাম্বায় 7 বছর ধরে লুকিয়ে রয়েছে। এখন প্যাচ!

সিভিই -2017-7494 হিসাবে সূচিত সাত বছর বয়সী ত্রুটিগুলি দূষিত কোডটি কার্যকর করার জন্য কেবলমাত্র এক লাইন কোডের মাধ্যমে নির্ভরযোগ্যভাবে ব্যবহার করা যেতে পারে, যতক্ষণ না কয়েকটি শর্ত পূরণ হয়। এই প্রয়োজনীয়তাগুলির মধ্যে দুর্বল কম্পিউটারগুলি অন্তর্ভুক্ত রয়েছে যা:

(ক) ফাইল- এবং প্রিন্টার-ভাগ করে নেওয়ার পোর্টটি ইন্টারনেটে 445 পৌঁছনীয়,
(খ) লেখার
সুবিধার্থে ভাগ করা ফাইলগুলি কনফিগার করুন এবং (গ) এই ফাইলগুলির জন্য জ্ঞাত বা অনুমানযোগ্য সার্ভার পাথ ব্যবহার করুন।

যখন এই শর্তগুলি সন্তুষ্ট হয়, তখন দূরবর্তী আক্রমণকারীরা তাদের পছন্দের যে কোনও কোড আপলোড করতে পারে এবং অরক্ষিত প্ল্যাটফর্মের উপর নির্ভর করে সম্ভবত নিরক্ষিত রুট সুবিধাগুলি সহ সার্ভারকে এটি সম্পাদন করতে পারে।

শোষণের স্বাচ্ছন্দ্য এবং নির্ভরযোগ্যতা দেওয়া, এই গর্তটি যত তাড়াতাড়ি সম্ভব প্লাগিংয়ের মূল্য। আক্রমণকারীরা সক্রিয়ভাবে এটি লক্ষ্যবস্তু করা শুরু না হওয়া পর্যন্ত এটি কেবল সময়ের বিষয়।

এছাড়াও র‌্যাপিড 7 - সাম্বায় প্যাচিং সিভিই -2017-7494: এটি জীবনের বৃত্ত

এবং আরও সাম্বাক্রি: লিনাক্স সিকুয়েল টু ওয়াংক্রাই

জানা দরকার তথ্য

সিভিই-2017-7494 এর একটি সিভিএসএস স্কোর 7.5 (সিভিএসএস: 3.0 / এভি: এন / এসি: এইচ / পিআর: এল / ইউআই: এন / এস: ইউ / সি: এইচ / আই: এইচ / এ: এইচ) 3 রয়েছে।

হুমকি সুযোগ

"পোর্ট: 445! ওএস: উইন্ডোজ" এর একটি shodan.io ক্যোয়ারীটি প্রায় 10 মিলিয়ন নন-উইন্ডোজ হোস্টকে দেখায় যেগুলি tcp / 445 ইন্টারনেটের জন্য উন্মুক্ত রয়েছে, যার অর্ধেকেরও বেশি সংযুক্ত আরব আমিরাতে (36%) এবং মার্কিন (16%) এর মধ্যে অনেকগুলি প্যাচযুক্ত সংস্করণ চলতে থাকতে পারে, সেলইনাক্স সুরক্ষা থাকতে পারে, বা অন্যথায় শোষণ চালানোর জন্য প্রয়োজনীয় মানদণ্ডের সাথে মেলে না, তবে এই দুর্বলতার জন্য সম্ভাব্য আক্রমণ পৃষ্ঠটি বড় is

পিএস সাম্বা গিথুব প্রকল্পের কমিট ফিক্স 02a76d86db0cbe79fcaf1a500630e24d961fa149 কমিট বলে মনে হচ্ছে


2
আপনি স্বাগত জানাই। আমি যুক্ত করব যে আমার টাইম জোনে, আমি গতকাল
রুই এফ রিবেইরো

6
যদিও উইন্ডোজের বিপরীতে, সাম্বা ডিফল্টরূপে বেশিরভাগ লিনাক্সের ডিস্ট্রোজে ঠিক নেই?
রাফেল 20

1
@ ইরফেল সত্যই, তবে আমি যদি প্রতিটি সার্ভারের জন্য একটি পয়সা পেয়েছি তবে সম্পূর্ণ ডিভিডি ইনস্টল থাকা সম্পূর্ণ সেট সহ আমি পেয়েছি ... আমি এই ধারণার সমাধানের জন্য উত্তরটি সামান্য সম্পাদনা করেছি।
রুই এফ রিবেইরো

9
যতদূর আমি বলতে পারি যে এনএম্যাপ স্ক্রিপ্টটি কেবল সাম্বার সংস্করণ পরীক্ষা করে, আপনি দুর্বল না হয়ে থাকলে। AFAICT, দুর্বলতা কাজে লাগাতে সার্ভারে ফাইল আপলোড করতে সক্ষম হওয়া দরকার। সুতরাং দুর্বলতা ইটার্নাল ব্লু উইন্ডোজের মতো গুরুতর কোথাও নেই। আপনি যদি প্রমাণীকরণ ছাড়াই ইন্টারনেটে ফাইলগুলি আপলোড করার অনুমতি দেন তবে সাম্বা দুর্বল কিনা তা আপনার সমস্যা।
স্টাফেন চেজেলাস

1
@ স্টাফেনচাজেলাস ধন্যবাদ, স্ক্রিপ্টটি চেক করার জন্য এখনও আমার এখনও সময় হয়নি
রুই এফ রিবেইরো

21

আমাদের বেশিরভাগ সাম্বা সার্ভারগুলি চালিয়ে যাচ্ছে সম্ভবত এটি ল্যানের ভিতরে, ফায়ারওয়ালের পিছনে চলছে এবং এর বন্দরগুলি সরাসরি বাইরের বিশ্বে উন্মুক্ত করবেন না।

আপনি যদি এমনটি করেন তবে এটি একটি অসাধারণ অনুশীলন হবে এবং চারপাশে ওপেনভিপিএন এর মতো সহজ, কার্যকর এবং নিখরচায় (বিয়ারের মতো এবং বক্তৃতায় যেমন) ভিপিএন সমাধান রয়েছে তখন তা অক্ষম। এসএমবি ওপেন ইন্টারনেটকে সামনে রেখে ডিজাইন করা হয়নি (হেক, টিসিপি / আইপি এমনকি সেই প্রোটোকলটিতে একটি চিন্তাভাবনা হিসাবে এসেছিল) এবং এটির মতো আচরণ করা উচিত। অতিরিক্ত পরামর্শটি প্রকৃত ফাইল ভাগ করে নেওয়ার হোস্টে ফায়ারওয়াল বিধিগুলি চালাচ্ছে যা কেবলমাত্র স্থানীয় (এবং শেষ পর্যন্ত ভিপিএন) সমস্ত এসএমবি পোর্ট ( , এবং 139/TCP, ) এর নেটওয়ার্ক অ্যাড্রেস করে ।445/TCP137/UDP138/UDP

এছাড়াও, যদি আপনার ব্যবহারের ক্ষেত্রে মঞ্জুরি দেয় তবে আপনি সাম্বাকে অপ্রয়োজনীয় চালানো বিবেচনা করা উচিত (যেমন, বলুন যে sambaব্যবহারকারী যার নাম নয় root)। আমি বুঝেছি যে এই সেটআপটির সাথে পসিক্স এসিএলগুলির সাথে এনটি এসিএলগুলির সীমাবদ্ধতাগুলি বিবাহ করা এত সহজ নয় তবে যদি আপনার নির্দিষ্ট সেটআপে এটি করা সম্ভব হয় তবে এটি উপায়।

অবশেষে, এই জাতীয় "লকডাউন" সত্ত্বেও এটি এখনও প্যাচ প্রয়োগ করার পরামর্শ দিচ্ছে যদি আপনি পারেন (কারণ সেখানে এনএএস বক্স রয়েছে যেখানে এটি করা সম্ভব নয়), এবং যদি পরীক্ষা করে দেখা যায় যে আপনার নির্দিষ্ট ব্যবহারের ক্ষেত্রে এটি nt pipe supportসেট রয়েছে কি না no


4
"এটি কেবলমাত্র ইন্ট্রানেটে অ্যাক্সেসযোগ্য" সম্ভবত এমন কিছু সংস্থা যেখানে অ্যাডমিনরা WannaCry চিন্তাভাবনা ছড়িয়ে দিয়েছিল what
কার্স্টেন এস
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.