PROBLEMA SICUREZZA CON SAMBA...

[SerMagnus]

Ciao raga, sto ancora una volta qui a scocciarvi.
Purtroppo penso che questa volta la cosa sia abbastanza seria.

Poco fà stavo controllando i LOG tutto ok, finquando non vado a controllare quelli di samba (cosa strana xkè fino a poco tempo fà li controllavo raramente) e trovo un qualcosa di sconvolgente.

Nei log trovo una SFILZA di tentati accessi (nn li ho letti tutti... ma credo che qualcuno ci sia riuscito )

Eccone alcuni:

Quote:

log.87.1.142.241_____log.87.1.30.230____log.elena-83v4uoz5z
log.87.1.142.249_____log.87.1.30.252____log.famiglia-vcak30
log.87.1.143.206_____log.87.1.30.43_____log.francesco
log.87.1.143.75______log.87.1.31.228____log.ines-yskxwznjs9
log.87.1.144.107_____log.87.1.3.123_____log.interno
log.87.1.144.174_____log.87.1.3.135_____log.jcthc
log.87.1.14.56_______log.87.1.31.65_____log.linus
log.87.1.14.73_______log.87.1.32.175____log.marcella
log.87.1.148.88______log.87.1.32.6______log.marilena-f3vdfe
log.87.1.14.92_______log.87.1.33.132____log.martina-pitzian
log.87.1.150.100_____log.87.1.33.190____log.mattulo
log.87.1.150.127_____log.87.1.33.208____log.maurizio
log.87.1.150.137_____log.87.1.33.80_____log.mimmo-pc
log.87.1.150.152_____log.87.1.34.176____log.mimmo-pc.old
log.87.1.150.29______log.87.1.34.200____log.mini
log.87.1.150.31______log.87.1.34.203____log.nb
log.87.1.150.43______log.87.1.34.95_____log.newton___
log.87.1.150.70______log.87.1.35.12_____log.newtonto_
log.87.1.150.71______log.87.1.35.126____log.nmbd
log.87.1.151.185_____log.87.1.35.138____log.nmbd.1.gz
log.87.1.151.200_____log.87.1.35.167____log.nome-ajo0yhdhew
log.87.1.15.123______log.87.1.35.238____log.nome-cnjzwztqqd
log.87.1.151.56______log.87.1.36.105____log.nome-kwerxzhw3u
log.87.1.151.64______log.87.1.36.166____log.oem
log.87.1.151.81______log.87.1.36.18_____log.oem-inqb6g78h9m
log.87.1.15.190______log.87.1.37.101____log.overfreq
log.87.1.15.32_______log.87.1.37.126____log.pc
log.87.1.156.170_____log.87.1.37.135____log.pc-casa01
log.87.1.156.219_____log.87.1.37.186____log.pentium
log.87.1.156.47______log.87.1.37.214____log.pietromanghi
log.87.1.156.69______log.87.1.37.240____log.portatilevince
log.87.1.158.117_____log.87.1.37.41_____log.preinsta-t4ss4a
log.87.1.158.135_____log.87.1.37.48_____log.professi-kadtca
log.87.1.158.51______log.87.1.40.115____log.roggio
log.87.1.158.54______log.87.1.40.169____log.roggio.old
log.87.1.158.56______log.87.1.40.170____log.sara
log.87.1.158.98______log.87.1.40.171____log.sebastia-9e1d08
log.87.1.159.121_____log.87.14.131.12___log.shitbanda
log.87.1.159.15______log.87.1.4.142_____log.simo-228d3d016f
log.87.1.159.164_____log.87.1.4.198_____log.smbd
log.87.1.159.167_____log.87.1.4.252_____log.smbd.1.gz
log.87.1.159.193_____log.87.14.254.165__log.tempe-0ynv8pqeq
log.87.1.159.24______log.87.1.43.116____log.tot-xi85763noam
log.87.1.159.29______log.87.1.43.166____log.useralpha
log.87.1.159.38______log.87.1.43.220____log.users-up5s52eil
log.87.1.159.64______log.87.1.43.231____log.utente-0814ae35
log.87.11.62.202_____log.87.1.44.116____log.utente-202169ab
log.87.1.164.147_____log.87.1.44.142____log.win-0fe67127fe5
log.87.1.164.188_____log.87.1.44.183____log.win2000-i9hdcp4
log.87.1.164.216_____log.87.1.44.233____log.win2000-i9hdcp4.old
log.87.1.164.240_____log.87.1.4.65______log.winxphome
log.87.1.1.66________log.87.1.47.219____log.work
log.87.1.167.106_____log.87.1.47.81_____log.x

Come questi ce ne sono a bizzeffe!!! Perché questi tipi mi riescono a vedere?

Come diavolo è possibile! Dove ho sbagliato nella configurazione!!!

Come faccio vedere se qualcuno ha avuto accesso al pc?
Inoltre esiste un modo rapido (magari uno scriptino) per spulciarli tutti verificando se qualcuno ha avuto accesso?? Essendone centinaia nn ho tempo di controllarli uno ad uno

[WebWolf]

hosts allow = 127.0.0.1 192.168.1.0/24 192.168.2.0/24 192.168.3.0/24
hosts deny = 0.0.0.0/0

Una cosa simile ce l'hai nel file di config ?

[SerMagnus]

mmm... no




ok, ma cmq sia xkè mi vedono? come diamine fanno a trovarmi!


vi posto il mio config?

[SerMagnus]

ecco il mio file di configurazione:

Quote:

[global]
workgroup = MSHOME
server string = %h server (Samba, Ubuntu)
wins support = no
dns proxy = no
interfaces = 127.0.0.0/8 eth0
bind interfaces only = true
log file = /var/log/samba/log.%m
max log size = 1000
log level = 3
;syslog only = no
syslog = 0
panic action = /usr/share/samba/panic-action %d
security = user
encrypt passwords = true
;passdb backend = tdbsam
;obey pam restrictions = yes
;guest account = nobody
invalid users = root
;passwd program = /usr/bin/passwd %u
;passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:$
username map = /etc/samba/smbusers
guest ok = no
restrict anonymous = 2

[user]
path = /home/user
available = yes
browseable = yes
public = yes
writable = yes
valid users = %S
guest ok = no

ho aggiunto dopo la spiacevole scoperta le righe:
GUEST OK = NO
RESTRICT ANONYMOUS = 2

a queste ovviamente si aggiungono quelle da te dette XD

[Gica78R]

Ciao...

Scusa, ma quale log hai controllato? Sul mio sistema, in /var/log/samba c'è un file di log per ogni client della rete locale
Da me tutti i tentativi di accesso alle condivisioni Samba provenienti dall'esterno della rete locale vengono respinti dal firewall, quindi non mi sono mai curato di aggiungere ulteriori restrizioni nel smb.conf... Comunque nella sezione [global] ci sono le righe

Quote:

allow hosts = 192.168.1.0/24
browseable = no

giusto per sicurezza...

Tu non puoi fare lo stesso? O hai bisogno di accedere da remoto alle tue condivisioni?


Ciao

[SerMagnus]

no nn ho bisogno di accedere da remoto. tant'è vero che ho aggiunte le righe

grazie a tutti


ps: mi dite come fare per accedere alle cartelle da remoto, in talune circostanze potrebbe essere utile

[SerMagnus]

raga ho ancora il problema

mi aiutate con questo benedetto smb.config?

eccolo:

Quote:

[global]
workgroup = MSHOME
netbios name = Muletto
server string = %h server (Samba, Ubuntu)
security = USER
smb passwd file = /etc/samba/smbpasswd
encrypt passwords = YES
hosts allow = 127.0.0.1 192.168.0.0 / 8
hosts deny = 0.0.0.0/0
interfaces = eth0 lo
bind interfaces = YES
follow symlinks = NO
log file = /var/log/samba/%m.log
max log size = 100
log level = 3
guest ok = NO
restrict anonymous = 2
browseable = NO

[user]
path = /home/user
browseable = YES
writable = YES
valid users = user

[WebWolf]

Io intanto guarderei chi è questo 87.1.x.x

Ma il server è in una zona raggiungibile dall'esterno (tipo DMZ) ?

[SerMagnus]

il muletto è dietro router, ma ho controllato e non ho DMZ attivato (eventualemtne c'è un modo di verificare che lo sia davvero?)

riguardo ai 87.1.x.x anche io avevo notato questi strani range ip ripetersi... purtroppo non so come tracciarli


infine spulciando in acluni log ho trovato:
check_ntlm_password: guest authentication for user [] succeeded

[WebWolf]

Guarda se hai 'jwhois', oppure installalo e risolvi gli IP (ah, sono tutti indirizzi attributiti da Telecom Italia, quindi è qualcuno che si connette con IP non statico)

Se hai impostato le regole sugli hosts e le intrusioni continuano, devi assolutamente verificare che non ci siano dei rootkit sulla tua macchina.

[SerMagnus]

no regole non ne ho impostate... come posso farlo?

riguardo ai rootkit non saprei anche se mi sembra strano ho formattato tutto lo stesso giorno che ho iniziato la discussione, ma il problema come vedi persiste.

inoltre persistono questi accessi guest:
check_ntlm_password: guest authentication for user [] succeeded

che mi consigli? formatto di nuovo, magari cambio distro o torno a ubuntu (ora ho xubuntu)?

[SerMagnus]

ecco il smb.conf

Codice:

[global]
workgroup = MSHOME
netbios name = Muletto
server string = %h server (Samba, Ubuntu)
security = user
username map = /etc/samba/smbusers
smb passwd file = /etc/samba/smbpasswd
encrypt passwords = yes
hosts allow = 192.168.0.2 192.168.0.3 192.168.0.4
hosts deny = ALL EXCEPT 192.168.0.2 192.168.0.3 192.168.0.4
interfaces = eth0 lo
bind interfaces only = yes
follow symlinks = no
log file = /var/log/samba/%m.log
max log size = 100
log level = 3
restrict anonymous = yes
browseable = no
panic action = /usr/share/samba/panic-action %d
;socket options = TCP_NODELAY
valid users = shinji

[user]
path = /home/user
browseable = yes
writable = yes
valid users = user

[WebWolf]

Le regole sono quelle 'allow e deny'.

Non riesci a collegarti da casa/internet point/amico e provare ad auto-hackerarti ?

Così vedi che succede.

[SerMagnus]

bella idea! devo assolutamente provare a casa di un mio amico... xò non so cosa fare X°D

ps: quali sono di default username e password per gli account guest? inizio provandoci in locale

[SerMagnus]

up

[dennyv]

Ohibò! Mi sembra ai tempi di XP senza firewall con la gente che condivideva l'intero disco senza password (allegria...)!

Soluzioni come già detto dagli altri:

1. Metti un filtro sugli IP in smb.conf/samba.conf
2. Configura firewall in linux con filtro sugli ip della tua lan
3. Controlla il NAT/DMZ del router e se ha un firewall fami come sopra
4. Assolutamente nessuna condivisione senza password!
5. Esegui la prova da un pc esterno

Un po' rindondanti, ma non se ne ha mai abbastanza!

Per le pasword/utenti li crei e li modifichi con smbpasswd!