sam600
26.09.07, 09:48
hallo
bin mir jetzt nichtmehr sicher, ob ich gehackt worden bin oder mir "falsche" log-dateien angezeigt werden.
bzw. wie ist das ueberhautp moeglich?
das problem:
ich habe einen linux ( opensuse 10.0 ) pc,der direkt am internet haengt
auf dem pc laeuft samba.
in den log-dateien von samba sehe hunderte von eintraegen / zugriffen mit oeffentlichen ip-nummern
z.b.:
...
log.122.214.128.147
log.84.59.134.39
log.84.61.170.96
...
in den log datei steht folgendes:
z.b:
[2007/09/23 08:00:30, 2] auth/auth.c:check_ntlm_password(317)
check_ntlm_password: Authentication for user [ADMIN] -> [ADMIN] FAILED with e
rror NT_STATUS_NO_SUCH_USER
[2007/09/23 08:00:31, 0] lib/util_sock.c:read_data(526)
read_data: read failure for 4 bytes to client 122.214.128.147. Error = Connect
ion reset by peer
[2007/09/23 08:00:31, 2] smbd/server.c:exit_server(612)
Closing connections
ich habe die samba port mit iptables geschlossen, was ein nmap auch bestaetigt
nmap -p 139-145 xxxx.xxxx.xxx
Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on xxxx.dip.t-dialin.net (xx.xx.xx.xx):
Port State Service
139/tcp filtered netbios-ssn
140/tcp filtered emfis-data
141/tcp filtered emfis-cntl
142/tcp filtered bl-idm
143/tcp filtered imap2
144/tcp filtered news
145/tcp filtered uaac
samba ist folgender massen eingestellt:
interfaces = 192.168.1.1/255.255.255.0 127.0.0.1/255.255.255.255
bind interfaces only = yes
log file = /var/log/samba/log.%m
bin ich jetzt gehackt worden bzw. wie haben die es geschaft auf den samba server zuzugreifen?
- iptables blockiert doch die ports
- samba laeuft nur auf der eth1 ( also internes netz )
hat mir jemand einen tip!
danke
gruss Sam
bin mir jetzt nichtmehr sicher, ob ich gehackt worden bin oder mir "falsche" log-dateien angezeigt werden.
bzw. wie ist das ueberhautp moeglich?
das problem:
ich habe einen linux ( opensuse 10.0 ) pc,der direkt am internet haengt
auf dem pc laeuft samba.
in den log-dateien von samba sehe hunderte von eintraegen / zugriffen mit oeffentlichen ip-nummern
z.b.:
...
log.122.214.128.147
log.84.59.134.39
log.84.61.170.96
...
in den log datei steht folgendes:
z.b:
[2007/09/23 08:00:30, 2] auth/auth.c:check_ntlm_password(317)
check_ntlm_password: Authentication for user [ADMIN] -> [ADMIN] FAILED with e
rror NT_STATUS_NO_SUCH_USER
[2007/09/23 08:00:31, 0] lib/util_sock.c:read_data(526)
read_data: read failure for 4 bytes to client 122.214.128.147. Error = Connect
ion reset by peer
[2007/09/23 08:00:31, 2] smbd/server.c:exit_server(612)
Closing connections
ich habe die samba port mit iptables geschlossen, was ein nmap auch bestaetigt
nmap -p 139-145 xxxx.xxxx.xxx
Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on xxxx.dip.t-dialin.net (xx.xx.xx.xx):
Port State Service
139/tcp filtered netbios-ssn
140/tcp filtered emfis-data
141/tcp filtered emfis-cntl
142/tcp filtered bl-idm
143/tcp filtered imap2
144/tcp filtered news
145/tcp filtered uaac
samba ist folgender massen eingestellt:
interfaces = 192.168.1.1/255.255.255.0 127.0.0.1/255.255.255.255
bind interfaces only = yes
log file = /var/log/samba/log.%m
bin ich jetzt gehackt worden bzw. wie haben die es geschaft auf den samba server zuzugreifen?
- iptables blockiert doch die ports
- samba laeuft nur auf der eth1 ( also internes netz )
hat mir jemand einen tip!
danke
gruss Sam