Repository 32bit  Forum
Repository 64bit  Wiki

Samba: Your machine may be under attack by someone

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Samba: Your machine may be under attack by someone

Messaggioda darkstoorm » lun set 12, 2005 23:23

avete qualche idea in merito:
Codice: Seleziona tutto
Sep 13 00:17:52 darkserv smbd[31317]: [2005/09/13 00:17:52, 0] smbd/reply.c:overflow_attack(50)
Sep 13 00:17:52 darkserv smbd[31317]:   ERROR: Invalid password length 4222.
Sep 13 00:17:52 darkserv smbd[31317]:   Your machine may be under attack by someone attempting to exploit an old bug.
Sep 13 00:17:52 darkserv smbd[31317]:   Attack was from IP = 82.60.65.49.


Grazie
mix
Avatar utente
darkstoorm
Linux 2.0
Linux 2.0
 
Messaggi: 146
Iscritto il: lun ago 30, 2004 23:00
Località: Trieste
Slackware: 12.0.0
Kernel: 2.6.21.5-smp (SMP)
Desktop: shell testuale

Messaggioda darkstoorm » lun set 12, 2005 23:29

qualcuno ha idea del perche' ho tutti sti samba.xxxx in /var/log ???

....
Codice: Seleziona tutto
-rw-r--r--    1 root     root            0 Sep  9 22:54 samba.home-4lidi5wnec
-rw-r--r--    1 root     root            0 Sep  9 13:15 samba.home-5t2sccb0is
-rw-r--r--    1 root     root            0 Sep 12 09:11 samba.homepc
-rw-r--r--    1 root     root            0 Sep 12 15:43 samba.house-01
-rw-r--r--    1 root     root          122 Sep 11 21:47 samba.hp
-rw-r--r--    1 root     root            0 Sep 12 17:30 samba.i-3ebxorj4icqce
-rw-r--r--    1 root     root            0 Sep  7 18:21 samba.ibm
-rw-r--r--    1 root     root            0 Sep  7 18:02 samba.ilpadrino
-rw-r--r--    1 root     root            0 Sep 11 22:24 samba.imp
-rw-r--r--    1 root     root            0 Sep  9 20:42 samba.internet
-rw-r--r--    1 root     root            0 Sep  6 23:43 samba.ivo
-rw-r--r--    1 root     root            0 Sep 10 02:22 samba.jenny-8x1kiczpw
-rw-r--r--    1 root     root            0 Sep  6 20:34 samba.laam
-rw-r--r--    1 root     root            0 Sep  6 23:56 samba.laika-rzh85okq1
-rw-r--r--    1 root     root            0 Sep 12 11:50 samba.lebonvallet
-rw-r--r--    1 root     root            0 Sep  7 18:00 samba.lex
-rw-r--r--    1 root     root            0 Sep  9 23:12 samba.lia-dn87vdkr3me
-rw-r--r--    1 root     root            0 Sep  7 19:42 samba.libera
-rw-r--r--    1 root     root         1135 Sep 12 15:13 samba.localhost
-rw-r--r--    1 root     root            0 Sep  7 20:26 samba.locatelli_marco
-rw-r--r--    1 root     root            0 Sep  8 23:51 samba.loic
-rw-r--r--    1 root     root            0 Sep  8 23:45 samba.lp
-rw-r--r--    1 root     root            0 Sep  9 19:44 samba.lu-9p33c29v1cb9
-rw-r--r--    1 root     root            0 Sep  6 20:31 samba.luca-2wygpnnq99
-rw-r--r--    1 root     root            0 Sep  9 12:27 samba.luciano-r0sqtxs
-rw-r--r--    1 root     root            0 Sep 11 13:59 samba.luigi-f3qsgfubr
-rw-r--r--    1 root     root            0 Sep  9 16:41 samba.mad
-rw-r--r--    1 root     root            0 Sep  7 20:08 samba.maio
-rw-r--r--    1 root     root            0 Sep  9 16:14 samba.marco-1


.....
Avatar utente
darkstoorm
Linux 2.0
Linux 2.0
 
Messaggi: 146
Iscritto il: lun ago 30, 2004 23:00
Località: Trieste
Slackware: 12.0.0
Kernel: 2.6.21.5-smp (SMP)
Desktop: shell testuale

Messaggioda l1q1d » mar set 13, 2005 7:27

Tutti i file che fanno samba.xxx nella directory log sono i file creati da samba quando trova delle risorse di rete samba.
C'è un log file per ogni computer con samba (o condivisione windows) attiva.
Inoltre ci sono i log dei vari servizi e delle stampanti.
Avatar utente
l1q1d
Master
Master
 
Messaggi: 1862
Iscritto il: lun feb 21, 2005 0:00
Località: In uno spazio n-dimesionale

Messaggioda -Shark- » mar set 13, 2005 8:27

Filtra le porte samba (135-139 e l'altra non ricordo, ma 4xx qualcosa) dall'esterno perchè qualcuno evidentemente prova ad accedere alla tua macchina da remoto con \\indirizzoip
Una volta su una share public mi ci avevano ficcato non so quale programma, quando stavo collegato con il gprs 8O
Avatar utente
-Shark-
Linux 2.4
Linux 2.4
 
Messaggi: 238
Iscritto il: gio giu 23, 2005 23:00
Località: Grumento Nova (Pz)

Messaggioda Paoletta » mar set 13, 2005 12:29

visto che ti stanno attaccando sia con SAMBA sia con script maligni, ti consiglio caldamente l'uso di nessus per sapere che vulnerabilità hai e metterti al riparo...

ciao!
Avatar utente
Paoletta
Staff
Staff
 
Messaggi: 3903
Iscritto il: dom apr 24, 2005 23:00
Località: Varese
Slackware: 13.1
Desktop: fluxbox

Messaggioda darkstoorm » mar set 13, 2005 18:34

-Shark- ha scritto:Filtra le porte samba (135-139 e l'altra non ricordo, ma 4xx qualcosa) dall'esterno perchè qualcuno evidentemente prova ad accedere alla tua macchina da remoto con \\indirizzoip
Una volta su una share public mi ci avevano ficcato non so quale programma, quando stavo collegato con il gprs 8O


come posso filtrare queste porte? con iptables?

saluti
Avatar utente
darkstoorm
Linux 2.0
Linux 2.0
 
Messaggi: 146
Iscritto il: lun ago 30, 2004 23:00
Località: Trieste
Slackware: 12.0.0
Kernel: 2.6.21.5-smp (SMP)
Desktop: shell testuale

Messaggioda MDS » mer set 14, 2005 8:42

Una domanda.... ma hai bisogno di samba veramente?
Hai una lan? Oppure vuoi condividere i tuoi dati con tutto il mondo?

Nel caso non ti servisse, spegni samba.... così nemmeno devi filtrare.
Comunque Samba puoi filtrarlo con iptables... però in lan ha senso... in remoto con ip pubblico no....
Se hai bisogno di condividere i dati con i tuoi amici in remoto ti consiglio caldamente di mettere su una VPN (con openvpn) e sharare con samba come se fossi in locale...
Al limite, ma è una soluzione meno sicura, metti su un server ftp con login e password... vedi se esiste qualcosa per ftps, penso di si.

Ciao :wink:
MDS
Linux 2.0
Linux 2.0
 
Messaggi: 178
Iscritto il: mer mag 19, 2004 23:00

Messaggioda darkstoorm » mer set 14, 2005 9:05

MDS ha scritto:Una domanda.... ma hai bisogno di samba veramente?
Hai una lan? Oppure vuoi condividere i tuoi dati con tutto il mondo?

Nel caso non ti servisse, spegni samba.... così nemmeno devi filtrare.
Comunque Samba puoi filtrarlo con iptables... però in lan ha senso... in remoto con ip pubblico no....
Se hai bisogno di condividere i dati con i tuoi amici in remoto ti consiglio caldamente di mettere su una VPN (con openvpn) e sharare con samba come se fossi in locale...
Al limite, ma è una soluzione meno sicura, metti su un server ftp con login e password... vedi se esiste qualcosa per ftps, penso di si.

Ciao :wink:


si hai ragione, ho chiuso il servizio SAMBA e ho messo il firewall (firewall.sh@slacky.it) ora va meglio!

Grazie per i consigli!
Avatar utente
darkstoorm
Linux 2.0
Linux 2.0
 
Messaggi: 146
Iscritto il: lun ago 30, 2004 23:00
Località: Trieste
Slackware: 12.0.0
Kernel: 2.6.21.5-smp (SMP)
Desktop: shell testuale


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

cron