Samba: Your machine may be under attack by someone

darkstoorm · Messaggio da **darkstoorm** » mar 13 set 2005, 0:23

avete qualche idea in merito:

Sep 13 00:17:52 darkserv smbd[31317]: [2005/09/13 00:17:52, 0] smbd/reply.c:overflow_attack(50)
Sep 13 00:17:52 darkserv smbd[31317]:   ERROR: Invalid password length 4222.
Sep 13 00:17:52 darkserv smbd[31317]:   Your machine may be under attack by someone attempting to exploit an old bug.
Sep 13 00:17:52 darkserv smbd[31317]:   Attack was from IP = 82.60.65.49.

Grazie
mix

darkstoorm · Messaggio da **darkstoorm** » mar 13 set 2005, 0:29

qualcuno ha idea del perche' ho tutti sti samba.xxxx in /var/log ???

....

Codice: Seleziona tutto

-rw-r--r--    1 root     root            0 Sep  9 22:54 samba.home-4lidi5wnec
-rw-r--r--    1 root     root            0 Sep  9 13:15 samba.home-5t2sccb0is
-rw-r--r--    1 root     root            0 Sep 12 09:11 samba.homepc
-rw-r--r--    1 root     root            0 Sep 12 15:43 samba.house-01
-rw-r--r--    1 root     root          122 Sep 11 21:47 samba.hp
-rw-r--r--    1 root     root            0 Sep 12 17:30 samba.i-3ebxorj4icqce
-rw-r--r--    1 root     root            0 Sep  7 18:21 samba.ibm
-rw-r--r--    1 root     root            0 Sep  7 18:02 samba.ilpadrino
-rw-r--r--    1 root     root            0 Sep 11 22:24 samba.imp
-rw-r--r--    1 root     root            0 Sep  9 20:42 samba.internet
-rw-r--r--    1 root     root            0 Sep  6 23:43 samba.ivo
-rw-r--r--    1 root     root            0 Sep 10 02:22 samba.jenny-8x1kiczpw
-rw-r--r--    1 root     root            0 Sep  6 20:34 samba.laam
-rw-r--r--    1 root     root            0 Sep  6 23:56 samba.laika-rzh85okq1
-rw-r--r--    1 root     root            0 Sep 12 11:50 samba.lebonvallet
-rw-r--r--    1 root     root            0 Sep  7 18:00 samba.lex
-rw-r--r--    1 root     root            0 Sep  9 23:12 samba.lia-dn87vdkr3me
-rw-r--r--    1 root     root            0 Sep  7 19:42 samba.libera
-rw-r--r--    1 root     root         1135 Sep 12 15:13 samba.localhost
-rw-r--r--    1 root     root            0 Sep  7 20:26 samba.locatelli_marco
-rw-r--r--    1 root     root            0 Sep  8 23:51 samba.loic
-rw-r--r--    1 root     root            0 Sep  8 23:45 samba.lp
-rw-r--r--    1 root     root            0 Sep  9 19:44 samba.lu-9p33c29v1cb9
-rw-r--r--    1 root     root            0 Sep  6 20:31 samba.luca-2wygpnnq99
-rw-r--r--    1 root     root            0 Sep  9 12:27 samba.luciano-r0sqtxs
-rw-r--r--    1 root     root            0 Sep 11 13:59 samba.luigi-f3qsgfubr
-rw-r--r--    1 root     root            0 Sep  9 16:41 samba.mad
-rw-r--r--    1 root     root            0 Sep  7 20:08 samba.maio
-rw-r--r--    1 root     root            0 Sep  9 16:14 samba.marco-1

.....

l1q1d · Messaggio da **l1q1d** » mar 13 set 2005, 8:27

Tutti i file che fanno samba.xxx nella directory log sono i file creati da samba quando trova delle risorse di rete samba.
C'è un log file per ogni computer con samba (o condivisione windows) attiva.
Inoltre ci sono i log dei vari servizi e delle stampanti.

-Shark- · Messaggio da **-Shark-** » mar 13 set 2005, 9:27

Filtra le porte samba (135-139 e l'altra non ricordo, ma 4xx qualcosa) dall'esterno perchè qualcuno evidentemente prova ad accedere alla tua macchina da remoto con \\indirizzoip
Una volta su una share public mi ci avevano ficcato non so quale programma, quando stavo collegato con il gprs 8O

Messaggio da **Paoletta** » mar 13 set 2005, 13:29

visto che ti stanno attaccando sia con SAMBA sia con script maligni, ti consiglio caldamente l'uso di nessus per sapere che vulnerabilità hai e metterti al riparo...

ciao!

darkstoorm · Messaggio da **darkstoorm** » mar 13 set 2005, 19:34

-Shark- ha scritto:Filtra le porte samba (135-139 e l'altra non ricordo, ma 4xx qualcosa) dall'esterno perchè qualcuno evidentemente prova ad accedere alla tua macchina da remoto con \\indirizzoip
Una volta su una share public mi ci avevano ficcato non so quale programma, quando stavo collegato con il gprs 8O

come posso filtrare queste porte? con iptables?

saluti

MDS · Messaggio da **MDS** » mer 14 set 2005, 9:42

Una domanda.... ma hai bisogno di samba veramente?
Hai una lan? Oppure vuoi condividere i tuoi dati con tutto il mondo?

Nel caso non ti servisse, spegni samba.... così nemmeno devi filtrare.
Comunque Samba puoi filtrarlo con iptables... però in lan ha senso... in remoto con ip pubblico no....
Se hai bisogno di condividere i dati con i tuoi amici in remoto ti consiglio caldamente di mettere su una VPN (con openvpn) e sharare con samba come se fossi in locale...
Al limite, ma è una soluzione meno sicura, metti su un server ftp con login e password... vedi se esiste qualcosa per ftps, penso di si.

Ciao

darkstoorm · Messaggio da **darkstoorm** » mer 14 set 2005, 10:05

MDS ha scritto:Una domanda.... ma hai bisogno di samba veramente?
Hai una lan? Oppure vuoi condividere i tuoi dati con tutto il mondo?

Nel caso non ti servisse, spegni samba.... così nemmeno devi filtrare.
Comunque Samba puoi filtrarlo con iptables... però in lan ha senso... in remoto con ip pubblico no....
Se hai bisogno di condividere i dati con i tuoi amici in remoto ti consiglio caldamente di mettere su una VPN (con openvpn) e sharare con samba come se fossi in locale...
Al limite, ma è una soluzione meno sicura, metti su un server ftp con login e password... vedi se esiste qualcosa per ftps, penso di si.

Ciao

si hai ragione, ho chiuso il servizio SAMBA e ho messo il firewall (firewall.sh@slacky.it) ora va meglio!

Grazie per i consigli!