Script para limpiar .exe en SMB
Se asume que se tiene instalado el cliente de correo mutt y rsyslog como sistema de logs, si no es el caso, instalar mutt y rsyslog.Se Habilita Logs de Auditoría en SAMBA
Agrgando la siguiente regla en /etc/rsyslog.conf
local5.notice /var/log/samba/audit.log
sudo service rsyslog restart
Habilitar auditoría en el directorio de SAMBA
Modificando la configuración en /etc/smb.conf como sigue:En la seccion GLOBAL lo siguiente:
log file = /var/log/samba/log.%m
vfs objects = full_audit
full_audit:prefix = %u|%I|%m|%S
full_audit:success = connect disconnect opendir mkdir rmdir closedir open close read pread write pwrite sendfile rename unlink chmod fchmod chown fchown chdir ftruncate lock symlink readlink link mknod realpath
full_audit:failure = none
full_audit:facility = LOCAL5
sudo service smb restart
sudo service nmb restart
Script de limpieza
El siguiente contenido en /root/scripts/limpiar_exe.sh:
#!/bin/sh
export Directorio="/DIR"
echo "Iniciando la limpieza de exe maliciosos..."
find $Directorio -iname "*.exe" -size 48k -exec rm -f {} \;
echo "Finalizada limpieza de exe maliciosos..."
Script que genera reportes
Con el siguiente contenido en /root/scripts/reportar_limpieza.sh:
#!/bin/sh
export LogDirSAMBA="/var/log/samba/audit.log"
export MSG_adjunto="/root/logs/detectados.txt"
export MSG_Servidor="SERVERNME"
export MSG_Contenido_Email="$MSG_Servidor Accesos EXE de 48k detectados en samba"
export MSG_Email="user@example.com"
# Se exporta el Log del sistema sobreescribiendo el anterior
cat $LogDirSAMBA | grep exe > $MSG_adjunto
# Se envia un email con los detalles detectados
echo $MSG_Contenido_Email | mutt -a $MSG_adjunto -s $MSG_Contenido_Email -- $MSG_Email
0 * * * * /root/scripts/limpiar_exe.sh
@weekly /root/scripts/reportar_limpieza.sh
sudo chmod +x /root/scripts/limpiar_exe.sh
sudo chmod +x /root/scripts/reportar_limpieza.sh
