Hace poco me di cuenta de que mi servidor samba estuvo expuesto durante unos 3 años al wan (los puertos se abrieron y smbd estaba escuchando). Cometí un error cuando configuré mi firewall y no lo revisé.
Este fue el contenido de mi smb.conf:
workgroup = WORKGROUP
dns proxy = no
interfaces = eth2 eth4
bind interfaces only = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
server role = standalone server
passdb backend = tdbsam
obey pam restrictions = yes
unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
pam password change = yes
map to guest = bad user
[homes]
comment = homes
browseable = no
valid users = %S
create mode = 0600
directory mode = 0700
writeable = yes
[smb]
path = /home/smb
comment = share
guest ok = no
force create mode = 0775
force directory mode = 0775
writeable = yes
browseable = yes
valid users = @smb
force group = smb
[www]
path = /www
comment = nginx
valid users = admin
browseable = no
guest ok = no
writeable = yes
force create mode = 0774
force directory mode = 0774
force group = www-data
He revisado brevemente la lista de vulnerabilidades de Samba en los últimos años y wow ... muchas posibilidades.
El servidor fue actualizado regularmente cada 2 semanas.
¿Debo "atacar mi servidor" y reinstalar todo?
No ha habido signos de compromiso hasta el día de hoy, pero me gustaría estar seguro.