Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1802 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  Codes et scripts

  [CRYPTOLOCKER] - Script pour empêcher la modif des fichiers ciblés ?

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[CRYPTOLOCKER] - Script pour empêcher la modif des fichiers ciblés ?

n°1398312
kgm_kaoss
Posté le 06-12-2016 à 10:04:02  profilanswer
 

Bonjour, étant confronté de plus en plus souvent à des Ransomwares de type Cryptolocker je me demandais si parmi vous quelqu'un  
connaitrait un script/daemon (ou aurait les connaissances pour en écrire un) qui pourrait vérifier les accès en écriture/modification sur un dossier/volume ?
 
les cryptolockers une fois la machine hôte vérolée, va encrypter/locker les fichiers sur la machine et sur les lecteurs réseaux mappés,
une fois les fichiers cibles identifiés le ransomware va donc les modifier/renommer/crypter
 
y'a-t-il moyen de faire un script qui détecterait un nombre important (à définir dans l'idéal) de renommage/modification de fichiers ?
dans l'idéal ce script pourrait lancer une coupure réseau (genre service smb stop) afin de limiter la casse, c'est essentiellement côté lecteurs mappés (via samba) que je voudrais mettre en place cette "protection",
le côté protection du poste de travail (sous Windows) ne m'importe pas.
 
avez vous connaissance d'un utilitaire/script de la sorte ?
éventuellement quelqu'un ayant les connaissances pour en bricoler un ou me guider ? (sachant que je suis proche du néant en niveau codage bash  :??: )
merci d'avance ;)


Message édité par kgm_kaoss le 06-12-2016 à 15:31:00

---------------
>-----> Ma galerie Youpic <-----<
mood
Publicité
Posté le 06-12-2016 à 10:04:02  profilanswer
 

n°1398501
fdaniel
Have you got a 27B/6 ?
Posté le 12-12-2016 à 12:08:18  profilanswer
 

Tu peux partir d'outils comme inotify ou fschange (ce dernier nécessite de patcher le kernel) pour détecter les modifs dans une arborescence, mais il faudra quand même coder un script autour pour la partie seuil d'alerte et cie.
 
Si tu ne l'as pas encore fait je te recommande de mettre en place des snapshots réguliers sur les partages concernés pour minimiser les pertes de données.


---------------
Topic des restos / Topic des boutiques gastronomiques
n°1398579
Profil sup​primé
Posté le 14-12-2016 à 11:57:19  answer
 

iwatch a l'air pas mal. Si j'ai bien compris c'est un programme Perl, qui utilise inotify pour exécuter des actions configurées par l'utilisateur, dès qu'il détecte une modification du système de fichiers.


Message édité par Profil supprimé le 17-12-2016 à 17:54:01
n°1398688
roondar
Posté le 16-12-2016 à 22:25:42  profilanswer
 

fail2ban + module samba vfs full_audit

n°1398977
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 21-12-2016 à 17:45:08  profilanswer
 

C'est quoi l'interet de fail2ban ici ?


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
n°1398978
fdaniel
Have you got a 27B/6 ?
Posté le 21-12-2016 à 17:49:28  profilanswer
 

Bloquer automatiquement l'IP qui modifie trop de fichiers (ici un poste client infecté) ?


---------------
Topic des restos / Topic des boutiques gastronomiques
n°1398979
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 21-12-2016 à 18:01:21  profilanswer
 

fdaniel a écrit :

Bloquer automatiquement l'IP qui modifie trop de fichiers (ici un poste client infecté) ?


 
si il accède correctement au fichier, il n'y a pas fail, donc pas ban [:spamafote]


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
n°1398980
roondar
Posté le 21-12-2016 à 19:07:57  profilanswer
 

black_lord a écrit :


 
si il accède correctement au fichier, il n'y a pas fail, donc pas ban [:spamafote]


 
S'il renomme/créer des fichiers en .ext , il est ban.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  Codes et scripts

  [CRYPTOLOCKER] - Script pour empêcher la modif des fichiers ciblés ?

 

Sujets relatifs
Script ajout d'une extension sur plusieurs fichierun script php en crontab retourne un message vide
Script Clonezillascript qui se bloque au bout de quelque minute
Backup rsync sans toucher aux fichiers identiques même si +récentsscript - read file, locate lines, replace part of line
Installation Ubuntu (dual boot Win7) et partage de fichiersScript synology
script onduleur nutFichiers mts et tsMuxer
Plus de sujets relatifs à : [CRYPTOLOCKER] - Script pour empêcher la modif des fichiers ciblés ?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR