标签 WannaCry 下的文章

从国家互联网应急中心获悉,为了有效控制 WannaCry 勒索病毒的传播感染,国家互联网应急中心近日开通了该病毒感染数据免费查询服务。2017 年 5 月 12 日,WannaCry 勒索病毒利用 Windows SMB(“永恒之蓝”)漏洞在全球快速传播,造成全球计算机大范围感染。

国家互联网应急中心介绍说,为实时掌握 WannaCry 勒索病毒及其变种在我国的传播感染情况,国家互联网应急中心持续开展针对该病毒的监测工作。根据分析,WannaCry 勒索病毒成功感染计算机并运行后,首先会主动连接一个开关域名。如果与开关域名通信成功,该病毒将不运行勒索行为,但病毒文件仍驻留在被感染计算机中;如果通信失败,该病毒将运行勒索行为加密计算机中的文件,并继续向局域网或互联网上的其他计算机传播。

据悉,截至 2019 年 4 月 9 日,国家互联网应急中心监测发现我国境内疑似感染 WannaCry 勒索病毒的计算机数量超过 30 万台,仍有大量的计算机未安装“永恒之蓝”漏洞补丁和杀毒软件。我国计算机感染 WannaCry 勒索病毒疫情依然比较严峻。

为了有效控制 WannaCry 勒索病毒的传播感染,国家互联网应急中心开通了该病毒感染数据免费查询服务。查询说明如下:

1、WannaCry 勒索病毒暂只能感染 Windows 操作系统,请用户在 Windows 操作系统上的浏览器中输入查询地址打开查询页面进行查询,查询地址为:h ttp://wanna-check.cert.org.cn。

2、若提示 IP 地址承载的计算机受到感染,建议使用 WannaCry 勒索病毒专杀工具进行查杀,并及时修复相关漏洞。

3、如果使用宽带拨号上网或手机上网,由于 IP 地址经常变化,会导致查询结果不准确,仅供参考。

来源:快科技

更多资讯

中消协等发智能锁试验报告:半数存指纹识别安全风险

中国消费者协会、四川省保护消费者权益委员会、 深圳市消费者委员会、佛山市消费者委会今天联合发布智能门锁比较试验报告,29 款样品中,48.3% 的样品密码开启安全存在风险,50% 的样品指纹识别开启安全存在风险,85.7% 的样品信息识别卡开启安存在风险。

来源: 央视新闻客户端

详情: http://t.cn/EoLwr4r

如何让过期证书事故不再发生

证书过期是一种常见的问题,但其影响面却可能极其广泛。此类事故频繁发生是因为安装和更新证书是一个乏味的手动过程。证书过期的现象已经有了改善,Let’s Encrypt 和 SSLMate 等 CA 开始提供证书自动更新的方法。

来源: solidot.org

详情: http://t.cn/EoLwsEt

男子购买“教程”掌握点餐软件漏洞 边消费边退代金券大肆实施盗窃

如今,各大餐饮行业手机自助点餐软件兴起,特别是在快餐行业中,大大缓解了排队点餐的尴尬。但是由于软件程序中难免存在漏洞,也成为滋生犯罪的土壤。近日,徐汇区检察院对一起利用手机自助点餐软件漏洞,盗窃某知名快餐公司钱款的被告人钟某某提起公诉。

来源: 新民晚报

详情: http://t.cn/EoLAw0A

中国一智能城市监控系统数据库被发现没有密码保护

智能城市设计旨在让居民生活更轻松,但如果它的监控系统数据泄露?John Wethington 报告一个智能城市数据库没有密码保护可以直接通过浏览器访问。

来源:solidot.org

详情: http://t.cn/EoLAb4Q

(信息来源于网络,安华金和搜集整理)

英国安全研究员 Marcus Hutchins(MalwareTech),2017 年因发现 WannaCry 的关闭开关阻止了该勒索软件的进一步传播而被视为一位安全领域的英雄,但他在当年前往美国参加安全会议 Black Hat 和 DEF CON 后准备在机场离境时遭到 FBI 逮捕,被控开发、传播和维护了银行木马 Kronos。

来源:solidot.org

更多资讯

勒索软件攻击致使 The Weather Channel 停播

根据《华尔街日报》报道,周四 The Weather Channel(天气频道)遭勒索软件攻击,导致其一个现场直播的电视节目停播。停播持续大约一个多小时,攻击发生时美国东南部天气十分恶劣。美国联邦调查局告诉《华尔街日报》,勒索软件攻击是问题的根源,该机构正在进行调查。

来源: solidot.org

详情: http://www.dbsec.cn/zx/20190421-2.html

印度支付卡欺诈发案率快速上升 名列全球第二

根据网络安全公司Gemini Advisory发布的网络犯罪统计数据,2018年,超过320万张印度支付卡记录被泄露,并在网上发布供出售,这与去年相比有了很大的飞跃,当时只有80万张印度支付卡的详细信息被发布在网络犯罪论坛上。

来源: cnBeta.COM

详情: http://t.cn/EaActwV

计算机故障被指延误了巴黎圣母院的灭火

巴黎圣母院周一晚上六点左右失火,最有可能的失火原因是电梯的电气短路,但一个计算机 bug 被指耽搁了灭火行动,导致了火势的快速蔓延。法国媒体报道称,在晚上六点后不久火警响起,但计算机 bug 在错误的地点显示了起火的位置。

来源: solidot.org

详情: http://t.cn/EaAcxIJ

薅羊毛薅到犯罪 有人非法套取信用卡积分获利被判刑

获取积分,兑换礼品,这是不少消费者,尤其是年轻群体熟悉的生活方式,有人把这种赚取优惠的行为戏称为“薅羊毛”。但是,“羊毛”薅得太狠,也会违法犯罪,山东、上海等地最近先后有人因为通过虚假交易等方式获取信用卡积分和礼品,被判诈骗罪。

来源: 央广网

详情: http://t.cn/EaAco6w

(信息来源于网络,安华金和搜集整理)

Samba 很久以来一直是为 *nix 系统上的 Windows 客户端提供共享文件和打印服务的标准。家庭用户,中型企业和大型公司都在使用它,它作为最佳解决方案在多种操作系统共存的环境中脱颖而出。

由于广泛使用的工具很可能发生这种情况,大多数 Samba 安装都面临着可能利用已知漏洞的攻击的风险,这个漏洞直到 WannaCry 勒索软件攻击的新闻出来之前都被认为是不重要的。

在本文中,我们将解释这个 Samba 漏洞是什么以及如何保护你负责的系统。根据你的安装类型(从仓库或者源码),你需要采取不同的方法。

如果你目前有在任何环境中使用 Samba 或者知道有人在使用,请继续阅读!

漏洞

过时和未修补的系统容易受到远程代码执行漏洞的攻击。简单来说,这意味着访问可写共享的人可以上传一段任意代码,并使用服务器中的 root 权限执行该代码。

这个问题在 Samba 网站上被描述为 CVE-2017-7494,并且已知会影响 Samba v3.5(2010 年 3 月初发布)及以后版本。由于与 WannaCry 有相似之处,它被非官方地被命名为 SambaCry:它们均针对 SMB 协议,并且可能是蠕虫病毒 - 这可能导致其从一个系统传播到另一个系统中。

Debian、Ubuntu、CentOS 和 Red Hat 已采取快速的行动来保护它们的用户,并为其支持的版本发布了补丁。另外,还提供了不受支持的安全临时解决方案。

更新 Samba

如先前提到的那样,根据你之前安装的方法有两种方式更新:

如果你从发行版的仓库中安装的 Samba

让我们看下在这种情况下你需要做什么:

在 Debian 下修复 SambaCry

添加下面的行到你的源列表中(/etc/apt/sources.list)以确保 apt 能够获得最新的安全更新:

deb http://security.debian.org stable/updates main
deb-src http://security.debian.org/ stable/updates main

接下来,更新可用的软件包:

# aptitude update

最后,确保 samba 软件包的版本符合漏洞修复的版本(见 CVE-2017-7494):

# aptitude show samba

Fix Sambacry in Debian

在 Debian 中修复 SambaCry

在 Ubuntu 中修复 SambaCry

要开始修复,如下检查新的可用软件包并更新 Samba 软件包:

$ sudo apt-get update
$ sudo apt-get install samba

已经修复 CVE-2017-7494 的 Samba 版本有下面这些:

  • 17.04: samba 2:4.5.8+dfsg-0ubuntu0.17.04.2
  • 16.10: samba 2:4.4.5+dfsg-2ubuntu5.6
  • 16.04 LTS: samba 2:4.3.11+dfsg-0ubuntu0.16.04.7
  • 14.04 LTS: samba 2:4.3.11+dfsg-0ubuntu0.14.04.8

最后,运行下面命令验证你的 Ubuntu 已经安装了正确的版本。

$ sudo apt-cache show samba

在 CentOS/RHEL 7 中修复 SambaCry

在 EL 7 中打过补丁的 Samba 版本是 samba-4.4.4-14.el7\_3。要安装它,这些做:

# yum makecache fast
# yum update samba

像先前那样,确保你已经安装了打补丁的 Samba 版本:

# yum info samba

Fix Sambacry in CentOS

在 CentOS 中修复 SambaCry

旧支持的 CentOS 以及 RHEL 更老的版本也有修复。参见 RHSA-2017-1270 获取更多。

如果你从源码安装的 Samba

注意:下面的过程假设你先前从源码构建的 Samba。强烈建议你在部署到生产服务器之前先在测试环境尝试。

此外,开始之前确保你备份了 smb.conf 文件。

在这种情况下,我们也会从源码编译并更新 Samba。然而在开始之前,我们必须先确保安装了所有的依赖。注意这也许会花费几分钟。

在 Debian 和 Ubuntu 中:

# aptitude install acl attr autoconf bison build-essential \
debhelper dnsutils docbook-xml docbook-xsl flex gdb krb5-user \
libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \
libcap-dev libcups2-dev libgnutls28-dev libjson-perl \
libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl \
libpopt-dev libreadline-dev perl perl-modules pkg-config \
python-all-dev python-dev python-dnspython python-crypto xsltproc \
zlib1g-dev libsystemd-dev libgpgme11-dev python-gpgme python-m2crypto

在 CentOS 7 或相似的版本中:

# yum install attr bind-utils docbook-style-xsl gcc gdb krb5-workstation \
libsemanage-python libxslt perl perl-ExtUtils-MakeMaker \
perl-Parse-Yapp perl-Test-Base pkgconfig policycoreutils-python \
python-crypto gnutls-devel libattr-devel keyutils-libs-devel \
libacl-devel libaio-devel libblkid-devel libxml2-devel openldap-devel \
pam-devel popt-devel python-devel readline-devel zlib-devel

停止服务(LCTT 译注:此处不必要):

# systemctl stop smbd

下载并解压源码(在写作时 4.6.4 是最新的版本):

# wget https://www.samba.org/samba/ftp/samba-latest.tar.gz 
# tar xzf samba-latest.tar.gz
# cd samba-4.6.4

出于了解信息的目的,用以下命令检查可用的配置选项。

# ./configure --help

如果你在先前的版本的构建中有使用到一些选项,你或许可以在上面命令的返回中包含一些选项,或者你可以选择使用默认值:

# ./configure
# make
# make install

最后重启服务。

# systemctl restart smbd

并验证你正在使用的是更新后的版本:

# smbstatus --version

这里返回的应该是 4.6.4。

其它情况

如果你使用的是不受支持的发行版本,并且由于某些原因无法升级到最新版本,你或许要考虑下面这些建议:

  • 如果 SELinux 是启用的,你是处于保护之下的!
  • 确保 Samba 共享是用 noexec 选项挂载的。这会阻止二进制文件从被挂载的文件系统中执行。

还有将:

nt pipe support = no

添加到 smb.conf[global] 字段中。你或许要记住,根据 Samba 项目,这“或许禁用 Windows 客户端的某些功能”。

重要:注意 nt pipe support = no 选项会禁用 Windows 客户端的共享列表。比如:当你在一台 Samba 服务器的 Windows Explorer 中输入 \\10.100.10.2\ 时,你会看到 “permission denied”。Windows 客户端不得不手动执行共享,如 \\10.100.10.2\share_name 来访问共享。

总结

在本篇中,我们已经描述了 SambaCry 漏洞以及如何减轻影响。我们希望你可以使用这个信息来保护你负责的系统。

如果你有关于这篇文章的任何提问以及评论,欢迎使用下面的评论栏让我们知道。


作者简介:

Gabriel Cánepa 是一名 GNU/Linux 系统管理员,阿根廷圣路易斯 Villa Mercedes 的 web 开发人员。他为一家国际大型消费品公司工作,在日常工作中使用 FOSS 工具以提高生产力,并从中获得极大乐趣。


via: https://www.tecmint.com/fix-sambacry-vulnerability-cve-2017-7494-in-linux/

作者:Gabriel Cánepa 译者:geekpi 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出