hallo

bin mir jetzt nichtmehr sicher, ob ich gehackt worden bin oder mir "falsche" log-dateien angezeigt werden.
bzw. wie ist das ueberhautp moeglich?

das problem:
ich habe einen linux ( opensuse 10.0 ) pc,der direkt am internet haengt
auf dem pc laeuft samba.

in den log-dateien von samba sehe hunderte von eintraegen / zugriffen mit oeffentlichen ip-nummern
z.b.:
...
log.122.214.128.147
log.84.59.134.39
log.84.61.170.96
...

in den log datei steht folgendes:
z.b:


[2007/09/23 08:00:30, 2] auth/auth.c:check_ntlm_password(317)
check_ntlm_password: Authentication for user [ADMIN] -> [ADMIN] FAILED with e
rror NT_STATUS_NO_SUCH_USER
[2007/09/23 08:00:31, 0] lib/util_sock.c:read_data(526)
read_data: read failure for 4 bytes to client 122.214.128.147. Error = Connect
ion reset by peer
[2007/09/23 08:00:31, 2] smbd/server.c:exit_server(612)
Closing connections



ich habe die samba port mit iptables geschlossen, was ein nmap auch bestaetigt



nmap -p 139-145 xxxx.xxxx.xxx

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on xxxx.dip.t-dialin.net (xx.xx.xx.xx):
Port State Service
139/tcp filtered netbios-ssn
140/tcp filtered emfis-data
141/tcp filtered emfis-cntl
142/tcp filtered bl-idm
143/tcp filtered imap2
144/tcp filtered news
145/tcp filtered uaac


samba ist folgender massen eingestellt:


interfaces = 192.168.1.1/255.255.255.0 127.0.0.1/255.255.255.255
bind interfaces only = yes
log file = /var/log/samba/log.%m


bin ich jetzt gehackt worden bzw. wie haben die es geschaft auf den samba server zuzugreifen?

- iptables blockiert doch die ports
- samba laeuft nur auf der eth1 ( also internes netz )

hat mir jemand einen tip!

danke
gruss Sam

hier mal ein auszug aus der smb.conf manpage:

Example: interfaces = eth0 192.168.2.10/24 192.168.3.10/255.255.255.0
soll bedeuten schreibe da noch ein eth1 mit in die interface option.
dann hört der auch nur noch auf eth1
dann sollte man von aussen den samba server auch garnicht mehr sehen.

soll bedeuten schreibe da noch ein eth1 mit in die interface option.
dann hört der auch nur noch auf eth1
dann sollte man von aussen desn samba server auch garnicht mehr sehen.

danke, aber das macht samba jetzt schon!



netstat -nat
...
tcp 0 0 192.168.1.1:445 0.0.0.0:* LISTEN
tcp 0 0 192.168.1.1:139 0.0.0.0:* LISTEN
...


hat sonst noch jemand einen tip?

Wenn das Ding offen im Netz stand ist das völlig normal, dass solche Logs auftauchen. Samba legt für jeden Client-Connect(-Versuch) ein Logfile an. Und Samba ist eben noch immer für viele Bots ein Standard-Angriffs-Ziel.

Solange alles Logfiles eine Fehlermeldung beinhalten, dass die Verbindung nicht geklappt hat oder abgewiesen wurde würde ich mir keine Sorgen machen (jedenfalls, solange Du ein aktuelles Samba am laufen hast, Patches eingespielt hast, ...) - wenn aber mal ein positiver Connect enthalten ist, den Du nicht zuordnen kannst, so würde ich über weitergehende Massnahmen nachdenken...

Mit dem Einrichten der Firewall sollte der Spuk aufhören...

Wenn das Ding offen im Netz stand ist das völlig normal, dass solche Logs auftauchen.
...

Mit dem Einrichten der Firewall sollte der Spuk aufhören...

mhhh,genau da liegt mein problem.

die firewall ist eingerichtet!
ein nmap scan auf port 139+445 blockiert iptables!
auszug aus den logs:


Sep 26 12:01:32 pc14 kernel: DROP_TCP IN=dsl0 OUT= MAC= SRC=240.157.xx.xx DST=84.xx.xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=37 ID=21141 PROTO=TCP SPT=62079 DPT=139 WINDOW=3072 RES=0x00 SYN URGP=0


deshalb stehe ich gerade auf dem schlauch.

Nochmal für Doofe: Die Logeinträge von Samba tauch(t)en auf, obwohl / als die Firewall die Zugriffe blockieren sollte?

Also nicht: Zugriffe entdeckt, Firewall eingerichtet, jetzt keine Zugriffe mehr?

Nochmal für Doofe: Die Logeinträge von Samba tauch(t)en auf, obwohl / als die Firewall die Zugriffe blockieren sollte?

Also nicht: Zugriffe entdeckt, Firewall eingerichtet, jetzt keine Zugriffe mehr?

bin echt doof, aber verstehe ich immer noch nicht :)

das heisst die firewall ist falsch eingerichtet?
wenn ja, was ist falsch? mehr wie blokieren geht nicht!

normalerweise duerften gar keine zugriffe zustande kommen:
1. iptables blokiert zugriffe auf port 139 & 445 von dsl0
2. samba antwort nur auf eth1 ( internes netz )

sorry fuer die blode frage...

Wir verstehen nur die Reihenfolge nicht.

Du hast einen Samba aufgesetzt. Hast dich über die Logs gewundert und hast dann einen Paketfilter aufgesetzt? Oder hast du Samba installiert, den Paketfilter aufgesetzt und dich dann über die Logs gewundert?

hier mal ein auszug aus der smb.conf manpage:

Example: interfaces = eth0 192.168.2.10/24 192.168.3.10/255.255.255.0
soll bedeuten schreibe da noch ein eth1 mit in die interface option.
dann hört der auch nur noch auf eth1
dann sollte man von aussen den samba server auch garnicht mehr sehen.

In meiner smb.conf steht es so

#### Networking ####

# The specific set of interfaces / networks to bind to
# This can be either the interface name or an IP address/netmask;
# interface names are normally preferred
# interfaces = 127.0.0.0/8 eth1

Also entweder oder.

Wir verstehen nur die Reihenfolge nicht.


ok versuche es nochmal zu erklaeren:

der pc mit dem samba habe ich vor ca. 1 jahr installiert.
( inkl. smb.conf + firewall )

d.h.: genau das gleiche system hat jetzt ein jahr keine probleme gemacht.
und es fanden keine samba zugriffe von extern statt!

vor ca. 5 tagen sind mit die samba-logs aufgefallen.

d.h.: nicht die samba logs aus dem internen netz sondern die mit den externen ip-nummer
z.b.:


/var/log/samba/
-rw-r--r-- 1 root root 78 Sep 18 17:50 log.84.99.8.54
-rw-r--r-- 1 root root 399 Sep 26 02:20 log.85.197.0.252
-rw-r--r-- 1 root root 396 Sep 27 22:04 log.85.84.19.50
-rw-r--r-- 1 root root 78 Sep 27 10:14 log.85.84.191.222


daher meine frage:
wie kann jemand auf samba ueberhaupt zugreifen?

1. samba antwortet nur auf eth1 ( internes netz ).
das man mit nestat ueberpruefen kann

2. iptables blockiert den zugriff von extern ( dsl0 ) auf den port 137-445 )

kann mir jemand das erklaeren?
hoffe ich habe es einigermassen erklaeren koennen!

danke vorab