Avatar billede cryforsoul Nybegynder
11. august 2007 - 18:09 Der er 16 kommentarer

Er der her et angreb,linux fedora logfile copy

nu har jeg installeret firewall, men jeg har ikke forstået om min samba server og er under angreb. om jeg har fået lukket alle hullerne.. se lige her!

Aug 11 00:41:46 localhost smbd[16884]:  Can't become connected user!
Aug 11 00:41:52 localhost smbd[16885]: [2007/08/11 00:41:52, 0] auth/auth_util.c:create_builtin_administrators(785)
Aug 11 00:41:52 localhost smbd[16885]:  create_builtin_administrators: Failed to create Administrators
Aug 11 00:41:52 localhost smbd[16885]: [2007/08/11 00:41:52, 0] auth/auth_util.c:create_builtin_users(751)
Aug 11 00:41:52 localhost smbd[16885]:  create_builtin_users: Failed to create Users
Aug 11 00:41:52 localhost smbd[16885]: [2007/08/11 00:41:52, 0] smbd/service.c:make_connection_snum(849)
Aug 11 00:41:52 localhost smbd[16885]:  Can't become connected user!
Aug 11 00:43:30 localhost smbd[16890]: [2007/08/11 00:43:30, 0] auth/auth_util.c:create_builtin_administrators(785)
Aug 11 00:43:30 localhost smbd[16890]:  create_builtin_administrators: Failed to create Administrators
Aug 11 00:43:30 localhost smbd[16890]: [2007/08/11 00:43:30, 0] auth/auth_util.c:create_builtin_users(751)
Aug 11 00:43:30 localhost smbd[16890]:  create_builtin_users: Failed to create Users
Aug 11 00:43:30 localhost smbd[16890]: [2007/08/11 00:43:30, 0] smbd/service.c:make_connection_snum(849)
Aug 11 00:43:30 localhost smbd[16890]:  Can't become connected user!
Aug 11 00:43:30 localhost smbd[16890]: [2007/08/11 00:43:30, 0] auth/auth_util.c:create_builtin_administrators(785)
Aug 11 00:43:30 localhost smbd[16890]:  create_builtin_administrators: Failed to create Administrators
Aug 11 00:43:30 localhost smbd[16890]: [2007/08/11 00:43:30, 0] auth/auth_util.c:create_builtin_users(751)
Aug 11 00:43:30 localhost smbd[16890]:  create_builtin_users: Failed to create Users
Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] auth/auth_util.c:create_builtin_administrators(785)
Aug 11 00:50:41 localhost smbd[16902]:  create_builtin_administrators: Failed to create Administrators
Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] auth/auth_util.c:create_builtin_users(751)
Aug 11 00:50:41 localhost smbd[16902]:  create_builtin_users: Failed to create Users
Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] smbd/service.c:make_connection_snum(849)
Aug 11 00:50:41 localhost smbd[16902]:  Can't become connected user!
Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] auth/auth_util.c:create_builtin_administrators(785)
Aug 11 00:50:41 localhost smbd[16902]:  create_builtin_administrators: Failed to create Administrators
Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] auth/auth_util.c:create_builtin_users(751)
Aug 11 00:50:41 localhost smbd[16902]:  create_builtin_users: Failed to create Users
Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] auth/auth_util.c:create_builtin_administrators(785)
Aug 11 00:50:41 localhost smbd[16902]:  create_builtin_administrators: Failed to create Administrators
Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] auth/auth_util.c:create_builtin_users(751)
Aug 11 00:50:41 localhost smbd[16902]:  create_builtin_users: Failed to create Users
Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] smbd/service.c:make_connection_snum(849)
Aug 11 00:50:41 localhost smbd[16902]:  Can't become connected user!
Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] auth/auth_util.c:create_builtin_administrators(785)


Er det et angreb??

og må den sige..
[2007/08/11 17:48:42, 0] nmbd/nmbd_incomingdgrams.c:process_local_master_announce(309)
Aug 11 17:48:42 localhost nmbd[2294]:  process_local_master_announce: Server XP at IP 192.168.0.138 is announcing itself as a local master browser for workgroup FLUFFER and we think we are master. Forcing election.
Aug 11 17:48:42 localhost nmbd[2294]: [2007/08/11 17:48:42, 0] nmbd/nmbd_become_lmb.c:unbecome_local_master_success(149)
Aug 11 17:48:42 localhost nmbd[2294]:  *****
Aug 11 17:48:42 localhost nmbd[2294]:   
Aug 11 17:48:42 localhost nmbd[2294]:  Samba name server LOCALHOST has stopped being a local master browser for workgroup FLUFFER on subnet 192.168.0.107
Aug 11 17:48:42 localhost nmbd[2294]:   
Aug 11 17:48:42 localhost nmbd[2294]:  *****
Aug 11 17:48:59 localhost nmbd[2294]: [2007/08/11 17:48:59, 0] nmbd/nmbd_become_lmb.c:become_local_master_stage2(396)
Aug 11 17:48:59 localhost nmbd[2294]:  *****
Aug 11 17:48:59 localhost nmbd[2294]:   
Aug 11 17:48:59 localhost nmbd[2294]:  Samba name server LOCALHOST is now a local master browser for workgroup FLUFFER on subnet 192.168.0.107
Aug 11 17:48:59 localhost nmbd[2294]:   
Aug 11 17:48:59 localhost nmbd[2294]:  *****
Aug 11 17:50:42 localhost nmbd[2294]: [2007/08/11 17:50:42, 0] nmbd/nmbd_incomingdgrams.c:process_local_master_announce(309)
Aug 11 17:50:42 localhost nmbd[2294]:  process_local_master_announce: Server XP at IP 192.168.0.138 is announcing itself as a.


skal den sige dette???eller er det fordi, der noget der er åbent et sted??

takker alle savr:*)
Avatar billede bufferzone Praktikant
11. august 2007 - 21:04 #1
Der foregår nogle ting som jeg ikke bryder mig om. Umiddelbart ser det ud som om du er udsat for en eller anden form for exploit eller scriptet angreb mod din samba server. Det er der jeg er overrasket over at se er tidsintervallet mellem de enkelte forespørgsler hvilket kunne indikerer at der er tale angreb mod flere mål eller at der bruges et tilpasset script der har intervallerne indbygget.

Det andet udklip fra loggen foregår lokalt og ligner ikke et angreb, men du bør være mistænkelig når det ses i sammenhæng med det andet.

At blive mere præcis er meget vandskeligt når jeg ikke kender netværket, opsætningen og hvorfra loggen kommer
Avatar billede janpo Nybegynder
11. august 2007 - 22:16 #2
Du kan få mere detaljeret information hvis du tilføjer "log level = 4" i din smb.conf. Den kan sættes op til 20, hvis jeg husker rigtigt, men så får du mere information end du ønsker :-)

Anden del af loggen ligner en helt normal "Browser election". Jeg vil gætte på at du har "local master = yes" i din smb.conf. Og det er helt iorden med mindre du er medlem af AD hvor DC'erne skal være browse master'e.
"os level" styrer hvilke versioner af Windows din Samba server "vinder" elections over.
Avatar billede cryforsoul Nybegynder
12. august 2007 - 21:07 #3
bufferzone.

ja, jeg tænkte det nok. men jeg ved ikke og kan ikke se hvor angrebet skulle komme fra!

hvad skal du have at vide for at kunne hjælpe mig???

jeg har set det script før, og havde snakket med en fra mit arbejde. Men man kan da ikke se min samba server netværk udefra vel?? så vil jeg gætte at det kun kan være en inde netværket. Måske en udbyder??
Avatar billede cryforsoul Nybegynder
12. august 2007 - 21:30 #4
Janpo...

eg vil gætte på at du har "local master = yes" i din smb.conf.

skal jeg da sætte den til no" ??

jeg er ikke medlem af AD og ener ikke hvad dette er:)
Avatar billede cryforsoul Nybegynder
12. august 2007 - 21:44 #5
Janpo..log level = 4

den står til =20
Avatar billede bufferzone Praktikant
12. august 2007 - 22:02 #6
lad mig kikke mig lidt omkring og i morgen er det jo hverdag og så er der adgang til at sætte flere hjerner bag. jeg vender tilbage.

Jeg kunne dog godt tænke mig at stille to spørgsmål.

Virker din samba server som den skal og kan alle de maskiner der skal tilgå den gøre dette.

Hvis en af dine maskiner ikke kan tilgå serveren, hvad giver det så i loggen
Avatar billede cryforsoul Nybegynder
12. august 2007 - 22:13 #7
De kan alle komme ind.jeg forstår bare ikke at man kan se den Samba serveren udenfor netværket??
Avatar billede cryforsoul Nybegynder
12. august 2007 - 22:48 #8
hej, jeg var ind og kigge på /etc/samba. og der 5 mapper og jeg er ikke sikker på om de skal være der de 2 af dem??
1.Imhost: sder står en ip adresse på 127.0.0.1 local host?? maskineen har ik dette ip?
2.secrets.tdb( den kan jeg ikke komme ind i!
3.smb.config / vil have en udskrift :)?
4.smbpasswd. ingen ???here
5.smbusers. root og så har jeg sat #nobody

Måske kan dette hjælpe lidt
Avatar billede bufferzone Praktikant
12. august 2007 - 23:02 #9
prøv at tage en kopi af secrets.tdb så du ikke ødelægger noget. Prøv derefter at åbne filen i en text editor, f.eks kwrite

Hvis det ikke virker så kik på den i en hexeditor. Jeg husker ikke lige en let, jeg bruger selv emacs
Avatar billede cryforsoul Nybegynder
12. august 2007 - 23:21 #10
den gider ikke aåbne med nogen som helst programmer.den skriver

kunne ike bestemme tegnkodning. jeg har prøve med et andet tegnkodning, med fik samme resultat
Avatar billede cryforsoul Nybegynder
12. august 2007 - 23:33 #11
jeg var lige ind og kigge, nu synes jeg at det ser ud som om de er kommet ind???
hjæællllllp. håber ikke at jeg finder motherf*** det kan godt være at jeg ikke er hardcore til linux, men hos bandidos kender jeg en der er administrator..

se lige ned here, hvad der sker


ug 12 23:08:15 localhost gconfd (root-3046): starter (version 2.14.0), pid 3046 bruger 'root'
Aug 12 23:08:15 localhost gconfd (root-3046): Bestemte adressen "xml:readonly:/etc/gconf/gconf.xml.mandatory" til en skrivebeskyttet konfigureringskilde ved position 0
Aug 12 23:08:15 localhost gconfd (root-3046): Bestemte adressen "xml:readwrite:/root/.gconf" til en skrivbar konfigureringskilde ved position 1
Aug 12 23:08:15 localhost gconfd (root-3046): Bestemte adressen "xml:readonly:/etc/gconf/gconf.xml.defaults" til en skrivebeskyttet konfigureringskilde ved position 2
Aug 12 23:08:17 localhost hcid[2067]: Default passkey agent (:1.15, /org/bluez/applet) registered
Aug 12 23:08:21 localhost gconfd (root-3046): Bestemte adressen "xml:readwrite:/root/.gconf" til en skrivbar konfigureringskilde ved position 0
Aug 12 23:08:21 localhost pcscd: winscard.c:219:SCardConnect() Reader E-Gate 0 0 Not Found
Aug 12 23:08:21 localhost last message repeated 4 times
Aug 12 23:12:31 localhost proftpd[3228]: localhost.localdomain (::ffff:10.0.140.220[::ffff:10.0.140.220]) - FTP session opened.
Aug 12 23:12:44 localhost nmbd[2331]: [2007/08/12 23:12:44, 0] nmbd/nmbd_incomingdgrams.c:process_local_master_announce(309)
Aug 12 23:12:44 localhost nmbd[2331]:  process_local_master_announce: Server XP at IP 192.168.0.138 is announcing itself as a local master browser for workgroup FLUFFER and we think we are master. Forcing election.
Aug 12 23:12:44 localhost nmbd[2331]: [2007/08/12 23:12:44, 0] nmbd/nmbd_become_lmb.c:unbecome_local_master_success(149)
Aug 12 23:12:44 localhost nmbd[2331]:  *****
Aug 12 23:12:44 localhost nmbd[2331]:   
Aug 12 23:12:44 localhost nmbd[2331]:  Samba name server LOCALHOST has stopped being a local master browser for workgroup FLUFFER on subnet 192.168.0.107
Aug 12 23:12:44 localhost nmbd[2331]:   
Aug 12 23:12:44 localhost nmbd[2331]:  *****
Aug 12 23:13:01 localhost nmbd[2331]: [2007/08/12 23:13:01, 0] nmbd/nmbd_become_lmb.c:become_local_master_stage2(396)
Aug 12 23:13:01 localhost nmbd[2331]:  *****
Aug 12 23:13:01 localhost nmbd[2331]:   
Aug 12 23:13:01 localhost nmbd[2331]:  Samba name server LOCALHOST is now a local master browser for workgroup FLUFFER on subnet 192.168.0.107
Aug 12 23:13:01 localhost nmbd[2331]:   
Aug 12 23:13:01 localhost nmbd[2331]:  *****
Aug 12 23:13:23 localhost proftpd[3239]: localhost.localdomain (::ffff:10.0.140.220[::ffff:10.0.140.220]) - FTP session opened.
Aug 12 23:15:37 localhost smbd[3255]: [2007/08/12 23:15:37, 0] auth/auth_util.c:create_builtin_administrators(785)
Aug 12 23:15:37 localhost smbd[3255]:  create_builtin_administrators: Failed to create Administrators
Aug 12 23:15:37 localhost smbd[3255]: [2007/08/12 23:15:37, 0] auth/auth_util.c:create_builtin_users(751)
Aug 12 23:15:37 localhost smbd[3255]:  create_builtin_users: Failed to create Users
Aug 12 23:15:37 localhost smbd[3255]: [2007/08/12 23:15:37, 0] smbd/service.c:make_connection_snum(849)
Aug 12 23:15:37 localhost smbd[3255]:  Can't become connected user!
Aug 12 23:15:39 localhost smbd[3256]: [2007/08/12 23:15:39, 0] auth/auth_util.c:create_builtin_administrators(785)
Aug 12 23:15:39 localhost smbd[3256]:  create_builtin_administrators: Failed to create Administrators
Aug 12 23:15:39 localhost smbd[3256]: [2007/08/12 23:15:39, 0] auth/auth_util.c:create_builtin_users(751)
Aug 12 23:15:39 localhost smbd[3256]:  create_builtin_users: Failed to create Users
Aug 12 23:15:39 localhost smbd[3256]: [2007/08/12 23:15:39, 0] smbd/service.c:make_connection_snum(849)
Aug 12 23:15:39 localhost smbd[3256]:  Can't become connected user!
Aug 12 23:18:56 localhost gconfd (root-3046): Afslutter
Aug 12 23:18:56 localhost gconfd (root-3288): starter (version 2.14.0), pid 3288 bruger 'root'
Aug 12 23:18:56 localhost gconfd (root-3288): Bestemte adressen "xml:readonly:/etc/gconf/gconf.xml.mandatory" til en skrivebeskyttet konfigureringskilde ved position 0
Aug 12 23:18:56 localhost gconfd (root-3288): Bestemte adressen "xml:readwrite:/root/.gconf" til en skrivbar konfigureringskilde ved position 1
Aug 12 23:18:56 localhost gconfd (root-3288): Bestemte adressen "xml:readonly:/etc/gconf/gconf.xml.defaults" til en skrivebeskyttet konfigureringskilde ved position 2
Aug 12 23:19:27 localhost gconfd (root-3288): GConf-server er ikke i brug, lukker ned.
Aug 12 23:19:27 localhost gconfd (root-3288): Afslutter
Avatar billede cryforsoul Nybegynder
15. august 2007 - 20:41 #12
hva?? 
er der ikke nogen hjælp her??
Avatar billede bufferzone Praktikant
15. august 2007 - 21:18 #13
Jeg har ikke lige haft tid til at kikke på det, jeg håber at nå det i morgen
Avatar billede cryforsoul Nybegynder
15. august 2007 - 23:34 #14
ok. troede bare at du havde glemt mig. jeg har købt en ny router til at hjælpe til, men nu giver den mig bøvl. kan ikke komme ind på serveren udefra.
er igang med at prøve at fikse det:)
Avatar billede langbein Nybegynder
16. august 2007 - 11:50 #15
Det som jeg synes mangler det er en beskrivelse av oppsettet av nettverket plus hva slags oppkopling det er mot internett. Først når disse opplysningene er på plass så blir det liksom overskuelig å gi en tolkning til loggen over.

Første vurdering vil vel være om det dreier seg om et angrep fra innsiden av lan eller fra Internett. Uten opplysninger om gateway/firewall plus antall PC'er på lan etc så blir ikke dette lett å vurdere.
Avatar billede cryforsoul Nybegynder
16. august 2007 - 22:34 #16
ok.netværk 2 pc`er windows xp pro. og en server fedora 6. alle pc`er går over til routeren. Er det det du mener LANGBEIN?? forbindelse 4 mbit

XP`erne har begge firewall og antivirus. firewallen har blokkeret de angreb som har DoS. har også fået installere diverse programmer til at hjælpe med at stoppe disse angreb på serveren fedora 6.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester