HELP: mein samba wird attakiert

Rund um die Sicherheit des Systems und die Applikationen
space
Posts: 51
Joined: 2003-07-09 17:20

HELP: mein samba wird attakiert

Post by space » 2003-08-28 13:32

ich stellte gerade fest das mein samba server im netz von aussen angefriffen wird, die maschine ist extrem lahm geworden und mein ganzer sdsl anschluss ist zu 100% dicht

hier ein auszug aus den logs:

Code: Select all

Aug 28 06:26:14 woodymaster smbd[24122]: [2003/08/28 06:26:14, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:14 woodymaster smbd[24122]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:14 woodymaster smbd[24123]: [2003/08/28 06:26:14, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:14 woodymaster smbd[24123]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:15 woodymaster smbd[24124]: [2003/08/28 06:26:15, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:15 woodymaster smbd[24124]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:15 woodymaster smbd[24125]: [2003/08/28 06:26:15, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:15 woodymaster smbd[24125]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:15 woodymaster smbd[24126]: [2003/08/28 06:26:15, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:15 woodymaster smbd[24126]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:15 woodymaster smbd[24127]: [2003/08/28 06:26:15, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:15 woodymaster smbd[24127]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:15 woodymaster smbd[24128]: [2003/08/28 06:26:15, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:15 woodymaster smbd[24128]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:15 woodymaster smbd[24129]: [2003/08/28 06:26:15, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:15 woodymaster smbd[24129]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:15 woodymaster smbd[24131]: [2003/08/28 06:26:15, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:15 woodymaster smbd[24131]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:15 woodymaster smbd[24130]: [2003/08/28 06:26:15, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:15 woodymaster smbd[24130]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:15 woodymaster smbd[24132]: [2003/08/28 06:26:15, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:15 woodymaster smbd[24132]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:16 woodymaster smbd[24133]: [2003/08/28 06:26:16, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:16 woodymaster smbd[24133]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:16 woodymaster smbd[24134]: [2003/08/28 06:26:16, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:16 woodymaster smbd[24134]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:16 woodymaster smbd[24135]: [2003/08/28 06:26:16, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:16 woodymaster smbd[24135]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:16 woodymaster smbd[24136]: [2003/08/28 06:26:16, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:16 woodymaster smbd[24136]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:16 woodymaster smbd[24137]: [2003/08/28 06:26:16, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:16 woodymaster smbd[24137]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]

ich habe samba jetzt kurzerhand gestoppt und deinstalliert da ein upgrade mit apt nicht möglich war (to many connections), leider fand ich mit google nichts konkretes zum fehler nur smb source code..... wer kennt diesen fehler? was löst den fehler aus?

sniffen auf der nic ergab das der angreifer aus den usa angreift mit einer fetteren leitung als meine.... abuse mail an dne isp kamm zurück :evil:

standbye
Posts: 146
Joined: 2002-10-16 18:05
Location: daheim :)

Re: HELP: mein samba wird attakiert

Post by standbye » 2003-08-28 13:37

dewegen sollte man einen samba nicht ins i-net lassen

bind ihn doch einfach auf die interne adresse -> und block von ausen mit den iptables alles was für den samba bestimmt ist

der exploid selbst sagt mir nix gibt aber ein haufen exploids die dem user root rechte verschaffen könnten.

space
Posts: 51
Joined: 2003-07-09 17:20

Re: HELP: mein samba wird attakiert

Post by space » 2003-08-28 13:49

Hi Standbye!

ich muss den samba öffentlich laufen lassen da mitarbeiter aus der firma von zu hause aus auf den samba server müssen, meine idee war es nicht aber ich muss mich fügen.... das selbe sagte ich auch aber es musste hald so gemacht werden.

scheiss exploids :roll:

BTW: die kiste hängt extra an einer eigenen leistung

standbye
Posts: 146
Joined: 2002-10-16 18:05
Location: daheim :)

Re: HELP: mein samba wird attakiert

Post by standbye » 2003-08-28 14:09

space dann sollen sie scp nutzen ;) bzw nen ftp server kommen sie von daheim auch drauf ;))) oder per vpn in die firma und dann ihr zeug machen.

d.m
Posts: 53
Joined: 2003-07-29 00:32
Location: Waltrop

Re: HELP: mein samba wird attakiert

Post by d.m » 2003-08-28 14:32

Komische Firma ;-p
Also ich würd für solche Zwecke auch eher ein VPN einrichten. Sind ja mit Sicherheit sensible Daten oder irre ich mich?

duergner
Posts: 923
Joined: 2003-08-20 11:30
Location: Pittsburgh, PA, USA

Re: HELP: mein samba wird attakiert

Post by duergner » 2003-08-28 15:52

space wrote:ich muss den samba öffentlich laufen lassen da mitarbeiter aus der firma von zu hause aus auf den samba server müssen, meine idee war es nicht aber ich muss mich fügen.... das selbe sagte ich auch aber es musste hald so gemacht werden.
Also ich hab ja schon viele kranke Sicherheitskonzepte gesehen aber das gehört sicher mit zu den Besten. Das SMB Prorokoll ans I-Net lassen. Sag mal von sowas wie scp, VPN oder wenigstens sFTP habt ihr noch nichts gehört, oder?

space
Posts: 51
Joined: 2003-07-09 17:20

Re: HELP: mein samba wird attakiert

Post by space » 2003-08-28 16:30

duergner wrote: Also ich hab ja schon viele kranke Sicherheitskonzepte gesehen aber das gehört sicher mit zu den Besten. Das SMB Prorokoll ans I-Net lassen. Sag mal von sowas wie scp, VPN oder wenigstens sFTP habt ihr noch nichts gehört, oder?
ja mein chef ist krank das kannst du laut sagen! sogar sehr krank :-D
vpn ist auch drauf aber das schnallen nicht alle mitarbeiter, selbes trifft auf scp zu, das ist für die windoof user zu komplieziert, sie müssen ihre shares mit net use x: \213... einhängen können

die daten sind relativ heikel, sind alle noch mit pgp verschlüsselt, auch wenn mein chef spinnt, meine paranoia ist noch nicht tot deshalb pgp ;)

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: HELP: mein samba wird attakiert

Post by captaincrunch » 2003-08-28 16:35

In dem Fall wäre das jetzt die Gelegenheit, deinem Chef mal den Ernst der Lage klarzumachen. Vorher solltest du jedoch dringend zusehen, dass es nur bei dem Verushc geblieben ist, und das System nicht doch kompromittiert ist.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

space
Posts: 51
Joined: 2003-07-09 17:20

Re: HELP: mein samba wird attakiert

Post by space » 2003-08-28 16:45

das system sollte ok sein, es läuft alles wie immer, keine komischen prozesse, keine neuen files, nur volle logs aber die enthalten nur die geposteten inhalte.....

hab ich ihm schon gesagt aber er will es so lassen, ich hoffe das der noiie samba der bald kommt nicht so anfällig ist

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: HELP: mein samba wird attakiert

Post by captaincrunch » 2003-08-28 17:11

hab ich ihm schon gesagt aber er will es so lassen, ich hoffe das der noiie samba der bald kommt nicht so anfällig ist
Dann viel Gück ... ich hoffe, du hast dir schriftliche geben lassen, dass er das genau so haben möchte (mit allen damit implizierten Risiken) ?!?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

mikespi
Posts: 95
Joined: 2002-12-28 17:47
Location: Muenchen

Re: HELP: mein samba wird attakiert

Post by mikespi » 2003-08-28 21:39

Am besten implementierst du eine sichere Lösung und verkaufst sie dann an deinem Chef und an die Mitarbeiter als ne beta von Samba 3.0.

Ich schätz beim Samba 3.0 wird es zu Anfang genug Lücken geben die dir dann dein Leben noch schwieriger machen.

Mike