RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

HELP: mein samba wird attakiert

https://www.rootforum.org/forum/viewtopic.php?t=16063

Page 1 of 1

HELP: mein samba wird attakiert

Posted: 2003-08-28 13:32
by space
ich stellte gerade fest das mein samba server im netz von aussen angefriffen wird, die maschine ist extrem lahm geworden und mein ganzer sdsl anschluss ist zu 100% dicht

hier ein auszug aus den logs:

Code: Select all

Aug 28 06:26:14 woodymaster smbd[24122]: [2003/08/28 06:26:14, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:14 woodymaster smbd[24122]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:14 woodymaster smbd[24123]: [2003/08/28 06:26:14, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:14 woodymaster smbd[24123]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:15 woodymaster smbd[24124]: [2003/08/28 06:26:15, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:15 woodymaster smbd[24124]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:15 woodymaster smbd[24125]: [2003/08/28 06:26:15, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:15 woodymaster smbd[24125]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:15 woodymaster smbd[24126]: [2003/08/28 06:26:15, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:15 woodymaster smbd[24126]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:15 woodymaster smbd[24127]: [2003/08/28 06:26:15, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:15 woodymaster smbd[24127]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:15 woodymaster smbd[24128]: [2003/08/28 06:26:15, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:15 woodymaster smbd[24128]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:15 woodymaster smbd[24129]: [2003/08/28 06:26:15, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:15 woodymaster smbd[24129]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:15 woodymaster smbd[24131]: [2003/08/28 06:26:15, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:15 woodymaster smbd[24131]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:15 woodymaster smbd[24130]: [2003/08/28 06:26:15, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:15 woodymaster smbd[24130]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:15 woodymaster smbd[24132]: [2003/08/28 06:26:15, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:15 woodymaster smbd[24132]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:16 woodymaster smbd[24133]: [2003/08/28 06:26:16, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:16 woodymaster smbd[24133]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:16 woodymaster smbd[24134]: [2003/08/28 06:26:16, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:16 woodymaster smbd[24134]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:16 woodymaster smbd[24135]: [2003/08/28 06:26:16, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:16 woodymaster smbd[24135]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:16 woodymaster smbd[24136]: [2003/08/28 06:26:16, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:16 woodymaster smbd[24136]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
Aug 28 06:26:16 woodymaster smbd[24137]: [2003/08/28 06:26:16, 0] lib/util_str.c:safe_strcpy(876)
Aug 28 06:26:16 woodymaster smbd[24137]:   ERROR: string overflow by 951 in safe_strcpy [~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P]
ich habe samba jetzt kurzerhand gestoppt und deinstalliert da ein upgrade mit apt nicht möglich war (to many connections), leider fand ich mit google nichts konkretes zum fehler nur smb source code..... wer kennt diesen fehler? was löst den fehler aus?

sniffen auf der nic ergab das der angreifer aus den usa angreift mit einer fetteren leitung als meine.... abuse mail an dne isp kamm zurück :evil:

Re: HELP: mein samba wird attakiert

Posted: 2003-08-28 13:37
by standbye
dewegen sollte man einen samba nicht ins i-net lassen

bind ihn doch einfach auf die interne adresse -> und block von ausen mit den iptables alles was für den samba bestimmt ist

der exploid selbst sagt mir nix gibt aber ein haufen exploids die dem user root rechte verschaffen könnten.

Re: HELP: mein samba wird attakiert

Posted: 2003-08-28 13:49
by space
Hi Standbye!

ich muss den samba öffentlich laufen lassen da mitarbeiter aus der firma von zu hause aus auf den samba server müssen, meine idee war es nicht aber ich muss mich fügen.... das selbe sagte ich auch aber es musste hald so gemacht werden.

scheiss exploids :roll:

BTW: die kiste hängt extra an einer eigenen leistung

Re: HELP: mein samba wird attakiert

Posted: 2003-08-28 14:09
by standbye
space dann sollen sie scp nutzen ;) bzw nen ftp server kommen sie von daheim auch drauf ;))) oder per vpn in die firma und dann ihr zeug machen.

Re: HELP: mein samba wird attakiert

Posted: 2003-08-28 14:32
by d.m
Komische Firma ;-p
Also ich würd für solche Zwecke auch eher ein VPN einrichten. Sind ja mit Sicherheit sensible Daten oder irre ich mich?

Re: HELP: mein samba wird attakiert

Posted: 2003-08-28 15:52
by duergner
space wrote:ich muss den samba öffentlich laufen lassen da mitarbeiter aus der firma von zu hause aus auf den samba server müssen, meine idee war es nicht aber ich muss mich fügen.... das selbe sagte ich auch aber es musste hald so gemacht werden.
Also ich hab ja schon viele kranke Sicherheitskonzepte gesehen aber das gehört sicher mit zu den Besten. Das SMB Prorokoll ans I-Net lassen. Sag mal von sowas wie scp, VPN oder wenigstens sFTP habt ihr noch nichts gehört, oder?

Re: HELP: mein samba wird attakiert

Posted: 2003-08-28 16:30
by space
duergner wrote: Also ich hab ja schon viele kranke Sicherheitskonzepte gesehen aber das gehört sicher mit zu den Besten. Das SMB Prorokoll ans I-Net lassen. Sag mal von sowas wie scp, VPN oder wenigstens sFTP habt ihr noch nichts gehört, oder?
ja mein chef ist krank das kannst du laut sagen! sogar sehr krank :-D
vpn ist auch drauf aber das schnallen nicht alle mitarbeiter, selbes trifft auf scp zu, das ist für die windoof user zu komplieziert, sie müssen ihre shares mit net use x: \213... einhängen können

die daten sind relativ heikel, sind alle noch mit pgp verschlüsselt, auch wenn mein chef spinnt, meine paranoia ist noch nicht tot deshalb pgp ;)

Re: HELP: mein samba wird attakiert

Posted: 2003-08-28 16:35
by captaincrunch
In dem Fall wäre das jetzt die Gelegenheit, deinem Chef mal den Ernst der Lage klarzumachen. Vorher solltest du jedoch dringend zusehen, dass es nur bei dem Verushc geblieben ist, und das System nicht doch kompromittiert ist.

Re: HELP: mein samba wird attakiert

Posted: 2003-08-28 16:45
by space
das system sollte ok sein, es läuft alles wie immer, keine komischen prozesse, keine neuen files, nur volle logs aber die enthalten nur die geposteten inhalte.....

hab ich ihm schon gesagt aber er will es so lassen, ich hoffe das der noiie samba der bald kommt nicht so anfällig ist

Re: HELP: mein samba wird attakiert

Posted: 2003-08-28 17:11
by captaincrunch
hab ich ihm schon gesagt aber er will es so lassen, ich hoffe das der noiie samba der bald kommt nicht so anfällig ist
Dann viel Gück ... ich hoffe, du hast dir schriftliche geben lassen, dass er das genau so haben möchte (mit allen damit implizierten Risiken) ?!?

Re: HELP: mein samba wird attakiert

Posted: 2003-08-28 21:39
by mikespi
Am besten implementierst du eine sichere Lösung und verkaufst sie dann an deinem Chef und an die Mitarbeiter als ne beta von Samba 3.0.

Ich schätz beim Samba 3.0 wird es zu Anfang genug Lücken geben die dir dann dein Leben noch schwieriger machen.

Mike
All times are UTC+02:00
Page 1 of 1