Samba: Your machine may be under attack by someone

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Avatar utente
darkstoorm
Linux 2.0
Linux 2.0
Messaggi: 146
Iscritto il: mar ago 31, 2004 0:00
Slackware: 12.0.0
Kernel: 2.6.21.5-smp (SMP)
Desktop: shell testuale
Località: Trieste
Contatta:

Samba: Your machine may be under attack by someone

Messaggioda darkstoorm » mar set 13, 2005 0:23

avete qualche idea in merito:

Codice: Seleziona tutto

Sep 13 00:17:52 darkserv smbd[31317]: [2005/09/13 00:17:52, 0] smbd/reply.c:overflow_attack(50)
Sep 13 00:17:52 darkserv smbd[31317]:   ERROR: Invalid password length 4222.
Sep 13 00:17:52 darkserv smbd[31317]:   Your machine may be under attack by someone attempting to exploit an old bug.
Sep 13 00:17:52 darkserv smbd[31317]:   Attack was from IP = 82.60.65.49.


Grazie
mix

Avatar utente
darkstoorm
Linux 2.0
Linux 2.0
Messaggi: 146
Iscritto il: mar ago 31, 2004 0:00
Slackware: 12.0.0
Kernel: 2.6.21.5-smp (SMP)
Desktop: shell testuale
Località: Trieste
Contatta:

Messaggioda darkstoorm » mar set 13, 2005 0:29

qualcuno ha idea del perche' ho tutti sti samba.xxxx in /var/log ???

....

Codice: Seleziona tutto

-rw-r--r--    1 root     root            0 Sep  9 22:54 samba.home-4lidi5wnec
-rw-r--r--    1 root     root            0 Sep  9 13:15 samba.home-5t2sccb0is
-rw-r--r--    1 root     root            0 Sep 12 09:11 samba.homepc
-rw-r--r--    1 root     root            0 Sep 12 15:43 samba.house-01
-rw-r--r--    1 root     root          122 Sep 11 21:47 samba.hp
-rw-r--r--    1 root     root            0 Sep 12 17:30 samba.i-3ebxorj4icqce
-rw-r--r--    1 root     root            0 Sep  7 18:21 samba.ibm
-rw-r--r--    1 root     root            0 Sep  7 18:02 samba.ilpadrino
-rw-r--r--    1 root     root            0 Sep 11 22:24 samba.imp
-rw-r--r--    1 root     root            0 Sep  9 20:42 samba.internet
-rw-r--r--    1 root     root            0 Sep  6 23:43 samba.ivo
-rw-r--r--    1 root     root            0 Sep 10 02:22 samba.jenny-8x1kiczpw
-rw-r--r--    1 root     root            0 Sep  6 20:34 samba.laam
-rw-r--r--    1 root     root            0 Sep  6 23:56 samba.laika-rzh85okq1
-rw-r--r--    1 root     root            0 Sep 12 11:50 samba.lebonvallet
-rw-r--r--    1 root     root            0 Sep  7 18:00 samba.lex
-rw-r--r--    1 root     root            0 Sep  9 23:12 samba.lia-dn87vdkr3me
-rw-r--r--    1 root     root            0 Sep  7 19:42 samba.libera
-rw-r--r--    1 root     root         1135 Sep 12 15:13 samba.localhost
-rw-r--r--    1 root     root            0 Sep  7 20:26 samba.locatelli_marco
-rw-r--r--    1 root     root            0 Sep  8 23:51 samba.loic
-rw-r--r--    1 root     root            0 Sep  8 23:45 samba.lp
-rw-r--r--    1 root     root            0 Sep  9 19:44 samba.lu-9p33c29v1cb9
-rw-r--r--    1 root     root            0 Sep  6 20:31 samba.luca-2wygpnnq99
-rw-r--r--    1 root     root            0 Sep  9 12:27 samba.luciano-r0sqtxs
-rw-r--r--    1 root     root            0 Sep 11 13:59 samba.luigi-f3qsgfubr
-rw-r--r--    1 root     root            0 Sep  9 16:41 samba.mad
-rw-r--r--    1 root     root            0 Sep  7 20:08 samba.maio
-rw-r--r--    1 root     root            0 Sep  9 16:14 samba.marco-1


.....

Avatar utente
l1q1d
Master
Master
Messaggi: 1862
Iscritto il: lun feb 21, 2005 0:00
Località: In uno spazio n-dimesionale
Contatta:

Messaggioda l1q1d » mar set 13, 2005 8:27

Tutti i file che fanno samba.xxx nella directory log sono i file creati da samba quando trova delle risorse di rete samba.
C'è un log file per ogni computer con samba (o condivisione windows) attiva.
Inoltre ci sono i log dei vari servizi e delle stampanti.

Avatar utente
-Shark-
Linux 2.4
Linux 2.4
Messaggi: 238
Iscritto il: ven giu 24, 2005 0:00
Località: Grumento Nova (Pz)
Contatta:

Messaggioda -Shark- » mar set 13, 2005 9:27

Filtra le porte samba (135-139 e l'altra non ricordo, ma 4xx qualcosa) dall'esterno perchè qualcuno evidentemente prova ad accedere alla tua macchina da remoto con \\indirizzoip
Una volta su una share public mi ci avevano ficcato non so quale programma, quando stavo collegato con il gprs 8O

Avatar utente
Paoletta
Staff
Staff
Messaggi: 3956
Iscritto il: lun apr 25, 2005 0:00
Slackware: 14.2 - 64 bit
Desktop: fluxbox
Località: Varese

Messaggioda Paoletta » mar set 13, 2005 13:29

visto che ti stanno attaccando sia con SAMBA sia con script maligni, ti consiglio caldamente l'uso di nessus per sapere che vulnerabilità hai e metterti al riparo...

ciao!

Avatar utente
darkstoorm
Linux 2.0
Linux 2.0
Messaggi: 146
Iscritto il: mar ago 31, 2004 0:00
Slackware: 12.0.0
Kernel: 2.6.21.5-smp (SMP)
Desktop: shell testuale
Località: Trieste
Contatta:

Messaggioda darkstoorm » mar set 13, 2005 19:34

-Shark- ha scritto:Filtra le porte samba (135-139 e l'altra non ricordo, ma 4xx qualcosa) dall'esterno perchè qualcuno evidentemente prova ad accedere alla tua macchina da remoto con \\indirizzoip
Una volta su una share public mi ci avevano ficcato non so quale programma, quando stavo collegato con il gprs 8O


come posso filtrare queste porte? con iptables?

saluti

MDS
Linux 2.0
Linux 2.0
Messaggi: 178
Iscritto il: gio mag 20, 2004 0:00

Messaggioda MDS » mer set 14, 2005 9:42

Una domanda.... ma hai bisogno di samba veramente?
Hai una lan? Oppure vuoi condividere i tuoi dati con tutto il mondo?

Nel caso non ti servisse, spegni samba.... così nemmeno devi filtrare.
Comunque Samba puoi filtrarlo con iptables... però in lan ha senso... in remoto con ip pubblico no....
Se hai bisogno di condividere i dati con i tuoi amici in remoto ti consiglio caldamente di mettere su una VPN (con openvpn) e sharare con samba come se fossi in locale...
Al limite, ma è una soluzione meno sicura, metti su un server ftp con login e password... vedi se esiste qualcosa per ftps, penso di si.

Ciao :wink:

Avatar utente
darkstoorm
Linux 2.0
Linux 2.0
Messaggi: 146
Iscritto il: mar ago 31, 2004 0:00
Slackware: 12.0.0
Kernel: 2.6.21.5-smp (SMP)
Desktop: shell testuale
Località: Trieste
Contatta:

Messaggioda darkstoorm » mer set 14, 2005 10:05

MDS ha scritto:Una domanda.... ma hai bisogno di samba veramente?
Hai una lan? Oppure vuoi condividere i tuoi dati con tutto il mondo?

Nel caso non ti servisse, spegni samba.... così nemmeno devi filtrare.
Comunque Samba puoi filtrarlo con iptables... però in lan ha senso... in remoto con ip pubblico no....
Se hai bisogno di condividere i dati con i tuoi amici in remoto ti consiglio caldamente di mettere su una VPN (con openvpn) e sharare con samba come se fossi in locale...
Al limite, ma è una soluzione meno sicura, metti su un server ftp con login e password... vedi se esiste qualcosa per ftps, penso di si.

Ciao :wink:


si hai ragione, ho chiuso il servizio SAMBA e ho messo il firewall (firewall.sh@slacky.it) ora va meglio!

Grazie per i consigli!


Torna a “Sicurezza”

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite