PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SAMBA alle 30 Sec. Anfrage über WAN . Scanner ???



zyrusthc
02.11.04, 15:28
Hallo Leutz

Viele von eu benutzen Samba Server und nicht jeder Verwendet dabei eine authorization ! Ein Blick in /var/log/samba lässt so manchen Newbie erschrecken was so von aussen auf den TCP Port 139 anfragen stellt !
Wie kann es sein das ich alle 30 Sec. eine Anfrage auf dem netbios Port bekomme ? Wie sieht das bei euch aus ?
Wer den Port für WAN im Firewall nicht auf Deny stellt ist gnadenlos diesen Anfragen ausgeliefert. Ich verwende im moment meinen Dlink Router der mir jeden Tag diese Logs bringt :

NOV/2/2004 14:53:50
Drop TCP packet from WAN
217.80.153.97:2408
217.80.87.34:445
Rule: Samba blind 2 deny

NOV/02/2004 14:53:47
Drop TCP packet from WAN
217.80.153.97:2408
217.80.87.34:445
Rule: Samba blind 2 deny

NOV/02/2004 14:52:58
Drop TCP packet from WAN
217.80.94.71:3364
217.80.87.34:445
Rule: Samba blind 2 deny

NOV/02/2004 14:52:55
Drop TCP packet from WAN
217.80.94.71:3364
217.80.87.34:445
Rule: Samba blind 2 deny

NOV/02/2004 14:52:05
Drop TCP packet from WAN
217.80.65.21:4544
217.80.87.34:445
Rule: Samba blind 2 deny

Das kann doch nicht normal sein oder ?
Würde mich über eine Umfangreiche Diskusion zum Thema hier im Forum freuen.....

lx_bastler
02.11.04, 19:19
Das ist doch der Port, der damals den Remote-Installationsservice für diesen einen Virus zur Verfügung stellte, da sind 30 s. völlig normal.

more /var/log/messages | grep ssh

zyrusthc
02.11.04, 19:45
So weit ich weiss war das damals der W32.Blaster , der sofort ein Windows System beim Internetconnect infiziert hat ?!

Komisch ist blos das bei einem grossteil der IP`s aus meinen RouterLogs ein Samba server läuft.
Wenn ich also im Konqueror smb://xxx.xxx.xxx.xxx eingebe lande ich auf einem Samba Server mit authorization !
Das sind doch wohl doch Leute die das ganze mit meiner IP machen ?

Bei mir werden die Anfragen durch mein Hardwarerouter schon vor dem Rechnern per Firewall abgefangen . Darum steht nix in /var/log/messages ;)

aheinhold
02.11.04, 19:48
Stimmt ...!

lx_bastler
02.11.04, 21:47
Da wird kein Samba-Server laufen, sondern Windows. Der Virus wurde sicher auch eher mit Windows verbreitet. Womöglich ist es einfach der Virus, der da versucht, den Samba-Server zu infizieren.
Aber ich weiß jetzt nicht genau, welcher Port für den Virus relevant war, 139, 135, ach es gibt so viele Ports, einer davon war es. Ich weiß auch nicht genau, ob es der Port war, der für Samba freigeschaltet sein muss.
RPCss. ja, dieser Prozess, der damals fehlerhaft war, muss glaube ich ausgeführt werden, damit Smb (Windows)-Freigaben richtig funktionieren.