|
|||||||
|
|
|
 |
|
|
Strumenti |
21-03-2003, 13:25
|
#1 |
|
Senior Member
Iscritto dal: Apr 2002
Città: Roma
Messaggi: 556
|
[samba]: strani log
salve a tutti,
vi leggo da molto tempo e trovo il tutto molto ma molto interessante (anche in relazione ad un corso organizzato di recente alla facoltà di ingegneria di Bologna).. Vi scrivo per sottoporre degli strani log che da qualche giorno leggo sul mio server ... /var/log/samba# ls -al total 5764 drwxr-x--- 2 root adm 4096 Mar 19 23:26 . drwxr-xr-x 10 root root 4096 Mar 21 06:28 .. -rw-r--r-- 1 root root 854 Feb 3 12:59 log.3zvregws5osbd7i -rw-r--r-- 1 root root 96014 Mar 21 10:46 log.50163099sp -rw-r--r-- 1 root root 99887 Mar 20 19:24 log.alevrius_ -rw-r--r-- 1 root root 86477 Mar 20 21:59 log.gustavo a parte che io non ho assolutamente account con quei nomi sul mio server, cmq aprendo tali log si evince che all'interno ci sono una _marea_ di stringhe del tipo: [2003/03/21 10:46:49, 0] smbd/service.c:make_connection(249) 50163099sp (218.11.94.49) couldn't find service c qualcuno potrebbe illuminarmi su che diavolo stanno cercando di fare?? e soprattutto se il servizio non viene trovato, perchè questi tentativi vengono provati di continuo?? beh per bucarmi direte voi ... ma la cosa mi puzza ... spero di non aver infranto alcuna regola nell'uso di questa ML, e spero di ricevere una risposta, anche se magari l'argomento può risultare banale ai vostri occhi, per me che sono una specie di newbie dei log e nell'amministrazione di una box è davvero interessante capire il tutto ... grazie h4mm3r`
__________________
Example isn't another way to teach, it is the only way to teach. -- Albert Einstein |
|
|
|
21-03-2003, 14:04
|
#2 | |
|
Senior Member
Iscritto dal: Apr 2000
Città: Roma
Messaggi: 15625
|
Chiudi la porta 137 udp in ingresso, almeno dagli indirizzi che non siano quelli dai computer che devono accedere.
Mi sembra chiaro che qualcuno sta cercando d'entrare. Ti consiglio anche di aggiornare samba, in quanto ultimamente hanno corretto dei difetti di protezione. Quote:
Potrebbe anche essere qualche worm che cerca di entrare.
__________________
0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12 |
|
|
|
|
|
21-03-2003, 15:01
|
#3 |
|
Senior Member
Iscritto dal: Apr 2002
Città: Roma
Messaggi: 556
|
uhm, si quello l'ho già fatto attraverso iptables loggando (a proposito dove mette i -j LOG woody che non riesco a trovarli?) e droppando i pacchetti su 137/139 .... che poi c non è in condivisione ... boh ...
uhm la cosa che mi fa pensare è che possa essere una sorta di scan su det. range ... che ne pensi?
__________________
Example isn't another way to teach, it is the only way to teach. -- Albert Einstein |
|
|
|
|
21-03-2003, 15:06
|
#4 | |
|
Senior Member
Iscritto dal: Apr 2000
Città: Roma
Messaggi: 15625
|
Guarda, a casa mi capitano tantissimi pacchetti sulla 137 provenienti da macchine windows, e ho una connessione dinamica con modem 56k. Generalmente sono computer win98 nei quali si entra facilmente con smbclient, hanno il disco c condiviso e nessuna password.
Forse è l'opera di un worm per windows che cerca di replicarsi o di contattare gli incauti che condividono il disco, non so... Quote:
__________________
0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12 |
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 18:20.
