Parar samba apos detectar varias mudanças em arquivos

cainf
(usa Debian)

Enviado em 21/04/2020 - 15:30h

Salve a todos

Pessoal peguei um caso de ransware, notei que os arquivos no servidor estavam alterando suas extensões

Então eu rapidamente parei o samba pois primeiro ele criptografa e depois deleta o arquivo original

Pergunto é possível criar um script de monitoramento, quando o servidor notar que varios arquivos estao sendo alterados ou varias extensões estranha estao aparecendo ele parar o samba ??

Claro que tenho o backup mas o que me ajudou muito foi ter parado o samba e evitado o estrago

Agradeço desde já

danniel-lara
(usa Fedora)

Enviado em 22/04/2020 - 12:36h

talvez usando um ids/ips como o snort
vi algo com o zabbix mas não sei ao certo