Hallo,
ich habe seit einigen Tagen auf meinen smbd Dämon immer einen Angriff aus dem Internet. Ist das normal oder hat es da jemand auf mich abgesehen. Es handel sich um einen Rechner der per dynDNS am Web hängt. Ist es "üblich" das Leute einfach abgrassen und schaun ob "was geht ?". Ich möchte natürlich nicht die Schotten dicht machen, möchte ja den Server selbst erreichen können.

Bestern Dank für Hinweise

Christian


Oct 25 08:42:33 star smbd[29315]: [2005/10/25 08:42:33, 0] smbd/reply.c:overflow_attack(50)
Oct 25 08:42:33 star smbd[29315]: ERROR: Invalid password length 4222.
Oct 25 08:42:33 star smbd[29315]: Your machine may be under attack by someone attempting to exploit an old bug.
Oct 25 08:42:33 star smbd[29315]: Attack was from IP = 84.153.203.143.
Oct 25 09:22:16 star smbd[29805]: [2005/10/25 09:22:16, 0] smbd/reply.c:overflow_attack(50)
Oct 25 09:22:16 star smbd[29805]: ERROR: Invalid password length 4222.
Oct 25 09:22:16 star smbd[29805]: Your machine may be under attack by someone attempting to exploit an old bug.
Oct 25 09:22:16 star smbd[29805]: Attack was from IP = 84.153.191.219.
Oct 25 09:29:43 star smbd[29857]: [2005/10/25 09:29:43, 0] smbd/reply.c:overflow_attack(50)
Oct 25 09:29:43 star smbd[29857]: ERROR: Invalid password length 4222.
Oct 25 09:29:43 star smbd[29857]: Your machine may be under attack by someone attempting to exploit an old bug.
Oct 25 09:29:43 star smbd[29857]: Attack was from IP = 84.153.253.145.
Oct 25 10:01:05 star smbd[30298]: [2005/10/25 10:01:05, 0] smbd/reply.c:overflow_attack(50)
Oct 25 10:01:06 star smbd[30298]: ERROR: Invalid password length 4222.
Oct 25 10:01:06 star smbd[30298]: Your machine may be under attack by someone attempting to exploit an old bug.
Oct 25 10:01:06 star smbd[30298]: Attack was from IP = 84.153.6.75.
Oct 25 10:07:44 star smbd[30348]: [2005/10/25 10:07:44, 0] smbd/reply.c:overflow_attack(50)
Oct 25 10:07:44 star smbd[30348]: ERROR: Invalid password length 4222.
Oct 25 10:07:44 star smbd[30348]: Your machine may be under attack by someone attempting to exploit an old bug.
Oct 25 10:07:44 star smbd[30348]: Attack was from IP = 84.50.6.249.
Oct 25 10:47:24 star smbd[30833]: [2005/10/25 10:47:24, 0] smbd/reply.c:overflow_attack(50)
Oct 25 10:47:25 star smbd[30833]: ERROR: Invalid password length 4222.
Oct 25 10:47:25 star smbd[30833]: Your machine may be under attack by someone attempting to exploit an old bug.
Oct 25 10:47:25 star smbd[30833]: Attack was from IP = 84.153.220.24.

Hallo,

ich nehm mal an, das ist Dein HeimPC. Wazu willst Du SMB nach aussen anbieten? Is unverschlüsselt und man könnte die Daten mitlesen, wenns dumm läuft

Ich bin wirklich kein Experte, aber die Passwordlänge 4222 sieht mir aus wie ein Bufferoverflow-Versuch (steht ja auch im Klartext im LOG). Ich denke mal es gibt Versionen, die einen Bug haben und man kann damit einen Einbruch ins System schaffen.
Lass mich raten, der SMB Client läuft mit root-Rechten?

Ich persönlich würde SMB nur intern anbieten und von aussen nur per VPN oder SSH/SSL Tunnel, da sollte es bestimmt was geben.
Wie gesagt, ich bin kein Experte, sollte ich daneben liegen, bitte die real experts (tm) fragen.

Gruß Malte

abgesehen von der bereits erwähnten "warum smb offen" - ist das völlig normal.

Ich gebe dir DRINGEND den Rat deinen Hardware-Router ordentlich zu konfigurieren.

Mehr dazu falls gewünscht per PN.

Was bitte soll am HW Router nicht stimmen ? Er tut genau das was ich will und lässt die SMB Ports durch. Dadurch kann ich vom Internet aus auf meinen Rechner zugreifen. Nur andere versuchen dies auch.
Solange mein smb richtig konfiguriert ist kommt auch keiner auf meinen Server. Ausser es gibt eine Lücke im Smb Protokoll. Was aber anscheinend nicht der Fall ist, denn sonst wäre schon jemand drauf. Mein smb Server ist auf dem neuesten Stand.

Ich werde jetzt versuchen den IP Bereich genauer zu lokalisieren und abblocken.

Christian

Ob deine Samba-Konfiguration stimmt, weiß ich nicht. Die haben wir noch nicht gesehen. Selbst wenn du "sicher" konfiguriert hast, ist das smb-Protokoll nicht geeignet um ohne "Absicherung" auf seinen Rechner zuzugreifen.

Dein Hardwarerouter ist von extern erreichbar. Ich glaube nicht, dass das in irgendeiner Weiße gut ist.

Du postest in "Sicherheit", du bekommst "Sicherheits"-Tipps. ;)

Dein Hardwarerouter ist von extern erreichbar. Ich glaube nicht, dass das in irgendeiner Weiße gut ist.
Spitzfindig könnte man sagen, das dies der Sinn und Zweck eines Routers ist :-)

...

Ansonsten: SMB ist per def. ein unsichereres Protokoll - keine Verschlüsselung. Daher also für offene Netze nicht geignet.

Spitzfindig könnte man sagen, das dies der Sinn und Zweck eines Routers ist :-)

Ok, falsch ausgedrückt :)
Das Webinterface des Hardwarerouters ist von extern erreichbar.. Besser? ;)

Gruß

Was möchtest du denn genau machen?
Weswegen willst du Samba über Internet erreichen können?

Wenn es um File-Transfers geht, würde ich lieber einen FTP-Server oder den SFTP-Server vom SSHD nehmen...
Auf einen "normalen" FTP-Server kann man mit jedem guten Browser zugreifen und auf den SFTP-Server kannst du mit WinSCP zugreifen..
Es gibt auch eine große Auswahl an FTP-Servern. Da gibt es auch welche mit SSL/TLS-Verschlüsselung...
Aber Samba über Internet?
Das ist sicherheitstechnisch eine GANZ schlechte Idee...

Hi,

also wenn SMB nach außen geroutet wird, das Webinterface erreichbar ist ... da findet sich bestimmt noch mehr. Wie war nochmal die IP? :D

LKH

Ok, falsch ausgedrückt :)
Das Webinterface des Hardwarerouters ist von extern erreichbar.. Besser? ;)
Sprachlich ja, Sicherheitstechnisch nein :-)

Hi!


Wenn es um File-Transfers geht, würde ich lieber einen FTP-Server oder den SFTP-Server vom SSHD nehmen...
FTP wäre mir erst recht zu unsicher, da sogar das Kennwort unverschlüsselt über die Leitung geht. SFTP gerne.


Aber Samba über Internet?
Das ist sicherheitstechnisch eine GANZ schlechte Idee...
Ich würde ja NFSv3 verwenden. *duck*

Gruß
fuffy