Log samba.smbd

[stefanoxjx]

Nel mio file di log di samba.smbd, ho trovato delle cose del genere:

2004/07/24 18:12:49, 0] lib/util_str.c:safe_strcpy(907)
ERROR: string overflow by 949 in safe_strcpy [��������������������������������������������������]
[2004/07/24 18:12:49, 0] lib/util_str.c:safe_strcpy(907)
ERROR: string overflow by 949 in safe_strcpy [��������������������������������������������������]
[2004/07/24 18:12:50, 0] lib/util_str.c:safe_strcpy(907)
ERROR: string overflow by 949 in safe_strcpy [��������������������������������������������������]
[2004/07/24 18:12:50, 0] lib/util_str.c:safe_strcpy(907)
ERROR: string overflow by 949 in safe_strcpy [��������������������������������������������������]
[2004/07/24 18:12:50, 0] lib/util_str.c:safe_strcpy(907)
ERROR: string overflow by 949 in safe_strcpy [��������������������������������������������������]
[2004/07/24 18:12:50, 0] lib/util_str.c:safe_strcpy(907)
ERROR: string overflow by 949 in safe_strcpy [��������������������������������������������������]
[2004/07/24 18:12:51, 0] lib/util_str.c:safe_strcpy(907)
ERROR: string overflow by 949 in safe_strcpy [��������������������������������������������������]
[2004/07/24 18:12:51, 0] lib/util_str.c:safe_strcpy(907)
ERROR: string overflow by 949 in safe_strcpy [��������������������������������������������������]
[2004/07/24 18:12:51, 0] lib/util_str.c:safe_strcpy(907)
ERROR: string overflow by 949 in safe_strcpy [��������������������������������������������������]
[2004/07/24 18:12:51, 0] lib/util_sock.c:read_data(436)
read_data: read failure for 36216. Error = Connection reset by peer
[2004/07/24 18:12:51, 0] lib/util_sock.c:read_data(436)
read_data: read failure for 36216. Error = Connection reset by peer
[2004/07/24 18:12:51, 0] lib/util_sock.c:read_data(436)
read_data: read failure for 36216. Error = Connection reset by peer
[2004/07/24 18:12:52, 0] lib/util_str.c:safe_strcpy(907)
ERROR: string overflow by 949 in safe_strcpy [��������������������������������������������������]
[2004/07/24 18:12:52, 0] lib/util_str.c:safe_strcpy(907)
ERROR: string overflow by 949 in safe_strcpy [��������������������������������������������������]
[2004/07/24 18:12:53, 0] lib/util_sock.c:read_data(436)
read_data: read failure for 36216. Error = Connection reset by peer
[2004/07/24 18:12:53, 0] lib/util_sock.c:read_data(436)
read_data: read failure for 36216. Error = Connection reset by peer
[2004/07/24 18:12:53, 0] lib/util_sock.c:read_data(436)
read_data: read failure for 35113. Error = Connection reset by peer
[2004/07/24 18:12:55, 0] lib/util_str.c:safe_strcpy(907)
ERROR: string overflow by 949 in safe_strcpy [��������������������������������������������������]
[2004/08/12 17:39:10, 0] lib/util_sock.c:read_data(436)
read_data: read failure for 4. Error = Connection reset by peer
[2004/08/12 17:50:08, 0] lib/util_sock.c:read_data(436)
read_data: read failure for 4. Error = Connection reset by peer
[2004/08/12 18:59:17, 0] lib/util_sock.c:read_data(436)
read_data: read failure for 4. Error = Connection reset by peer
[2004/08/17 23:26:56, 0] lib/util_sock.c:read_data(436)
read_data: read failure for 4. Error = Connection reset by peer
[2004/08/17 23:43:39, 0] lib/util_sock.c:read_data(436)
read_data: read failure for 4. Error = Connection reset by peer

A parte il "Connection reset by peer" che anche se non ho capito bene da cosa è generato,trovo spesso, ma quello che mi preoccupa di più è il messaggio "overflow".

Devo preoccuparmi

[ThePapri]

di sicuro è qualcuno da fuori che cerca (ha cercato) di entrare. La maggior parte delle volte sono worm di windows che cercano di propagarsi usando samba, altre volte sono cracker che cercano di entrare nella tua GNU/Linux box.

Quello che hai riportato indica che samba è aperta su internet e quindi non hai nessun firewall attivo.
Ti consiglio di:
* installarti un firewall e chiudere tutte (o quasi) le porte dall'esterno, lasciando aperte solo quelle necessarie
* guardare un po' i log se vidi qualcos'altro di sospetto
* cercare se hai qualche rootkit: installa ed esegui chkrootkit (guardati un po' il manuale prima)
* visto che hai samba attivo controlla anche tutte le altre macchine della rete, se non hai nessuna altra macchina o non ne colleghi mai nessun'altra, allora ti consiglio di disabilitare il caricamento di samba (magari anche disinstallarlo se non ritieni di usarlo nel breve termine). Se hai attaccata una macchina ms-windows forse ti conviene formattarla e reinstallarla, visto che se è stata compromessa risulta complesso/impossibile riuscire a capirlo. La cosa migliore sarebbe reinstallare anche tutte le GNU/Linux box per sicurezza (uno o più tuoi pc potrebbero attulamente essere controllati da qualcun'altro).

ThePapri