nu har jeg installeret firewall, men jeg har ikke forstået om min samba server og er under angreb. om jeg har fået lukket alle hullerne.. se lige her!
Aug 11 00:41:46 localhost smbd[16884]: Can't become connected user! Aug 11 00:41:52 localhost smbd[16885]: [2007/08/11 00:41:52, 0] auth/auth_util.c:create_builtin_administrators(785) Aug 11 00:41:52 localhost smbd[16885]: create_builtin_administrators: Failed to create Administrators Aug 11 00:41:52 localhost smbd[16885]: [2007/08/11 00:41:52, 0] auth/auth_util.c:create_builtin_users(751) Aug 11 00:41:52 localhost smbd[16885]: create_builtin_users: Failed to create Users Aug 11 00:41:52 localhost smbd[16885]: [2007/08/11 00:41:52, 0] smbd/service.c:make_connection_snum(849) Aug 11 00:41:52 localhost smbd[16885]: Can't become connected user! Aug 11 00:43:30 localhost smbd[16890]: [2007/08/11 00:43:30, 0] auth/auth_util.c:create_builtin_administrators(785) Aug 11 00:43:30 localhost smbd[16890]: create_builtin_administrators: Failed to create Administrators Aug 11 00:43:30 localhost smbd[16890]: [2007/08/11 00:43:30, 0] auth/auth_util.c:create_builtin_users(751) Aug 11 00:43:30 localhost smbd[16890]: create_builtin_users: Failed to create Users Aug 11 00:43:30 localhost smbd[16890]: [2007/08/11 00:43:30, 0] smbd/service.c:make_connection_snum(849) Aug 11 00:43:30 localhost smbd[16890]: Can't become connected user! Aug 11 00:43:30 localhost smbd[16890]: [2007/08/11 00:43:30, 0] auth/auth_util.c:create_builtin_administrators(785) Aug 11 00:43:30 localhost smbd[16890]: create_builtin_administrators: Failed to create Administrators Aug 11 00:43:30 localhost smbd[16890]: [2007/08/11 00:43:30, 0] auth/auth_util.c:create_builtin_users(751) Aug 11 00:43:30 localhost smbd[16890]: create_builtin_users: Failed to create Users Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] auth/auth_util.c:create_builtin_administrators(785) Aug 11 00:50:41 localhost smbd[16902]: create_builtin_administrators: Failed to create Administrators Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] auth/auth_util.c:create_builtin_users(751) Aug 11 00:50:41 localhost smbd[16902]: create_builtin_users: Failed to create Users Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] smbd/service.c:make_connection_snum(849) Aug 11 00:50:41 localhost smbd[16902]: Can't become connected user! Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] auth/auth_util.c:create_builtin_administrators(785) Aug 11 00:50:41 localhost smbd[16902]: create_builtin_administrators: Failed to create Administrators Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] auth/auth_util.c:create_builtin_users(751) Aug 11 00:50:41 localhost smbd[16902]: create_builtin_users: Failed to create Users Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] auth/auth_util.c:create_builtin_administrators(785) Aug 11 00:50:41 localhost smbd[16902]: create_builtin_administrators: Failed to create Administrators Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] auth/auth_util.c:create_builtin_users(751) Aug 11 00:50:41 localhost smbd[16902]: create_builtin_users: Failed to create Users Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] smbd/service.c:make_connection_snum(849) Aug 11 00:50:41 localhost smbd[16902]: Can't become connected user! Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] auth/auth_util.c:create_builtin_administrators(785)
Er det et angreb??
og må den sige.. [2007/08/11 17:48:42, 0] nmbd/nmbd_incomingdgrams.c:process_local_master_announce(309) Aug 11 17:48:42 localhost nmbd[2294]: process_local_master_announce: Server XP at IP 192.168.0.138 is announcing itself as a local master browser for workgroup FLUFFER and we think we are master. Forcing election. Aug 11 17:48:42 localhost nmbd[2294]: [2007/08/11 17:48:42, 0] nmbd/nmbd_become_lmb.c:unbecome_local_master_success(149) Aug 11 17:48:42 localhost nmbd[2294]: ***** Aug 11 17:48:42 localhost nmbd[2294]: Aug 11 17:48:42 localhost nmbd[2294]: Samba name server LOCALHOST has stopped being a local master browser for workgroup FLUFFER on subnet 192.168.0.107 Aug 11 17:48:42 localhost nmbd[2294]: Aug 11 17:48:42 localhost nmbd[2294]: ***** Aug 11 17:48:59 localhost nmbd[2294]: [2007/08/11 17:48:59, 0] nmbd/nmbd_become_lmb.c:become_local_master_stage2(396) Aug 11 17:48:59 localhost nmbd[2294]: ***** Aug 11 17:48:59 localhost nmbd[2294]: Aug 11 17:48:59 localhost nmbd[2294]: Samba name server LOCALHOST is now a local master browser for workgroup FLUFFER on subnet 192.168.0.107 Aug 11 17:48:59 localhost nmbd[2294]: Aug 11 17:48:59 localhost nmbd[2294]: ***** Aug 11 17:50:42 localhost nmbd[2294]: [2007/08/11 17:50:42, 0] nmbd/nmbd_incomingdgrams.c:process_local_master_announce(309) Aug 11 17:50:42 localhost nmbd[2294]: process_local_master_announce: Server XP at IP 192.168.0.138 is announcing itself as a.
skal den sige dette???eller er det fordi, der noget der er åbent et sted??
Der foregår nogle ting som jeg ikke bryder mig om. Umiddelbart ser det ud som om du er udsat for en eller anden form for exploit eller scriptet angreb mod din samba server. Det er der jeg er overrasket over at se er tidsintervallet mellem de enkelte forespørgsler hvilket kunne indikerer at der er tale angreb mod flere mål eller at der bruges et tilpasset script der har intervallerne indbygget.
Det andet udklip fra loggen foregår lokalt og ligner ikke et angreb, men du bør være mistænkelig når det ses i sammenhæng med det andet.
At blive mere præcis er meget vandskeligt når jeg ikke kender netværket, opsætningen og hvorfra loggen kommer
Du kan få mere detaljeret information hvis du tilføjer "log level = 4" i din smb.conf. Den kan sættes op til 20, hvis jeg husker rigtigt, men så får du mere information end du ønsker :-)
Anden del af loggen ligner en helt normal "Browser election". Jeg vil gætte på at du har "local master = yes" i din smb.conf. Og det er helt iorden med mindre du er medlem af AD hvor DC'erne skal være browse master'e. "os level" styrer hvilke versioner af Windows din Samba server "vinder" elections over.
ja, jeg tænkte det nok. men jeg ved ikke og kan ikke se hvor angrebet skulle komme fra!
hvad skal du have at vide for at kunne hjælpe mig???
jeg har set det script før, og havde snakket med en fra mit arbejde. Men man kan da ikke se min samba server netværk udefra vel?? så vil jeg gætte at det kun kan være en inde netværket. Måske en udbyder??
hej, jeg var ind og kigge på /etc/samba. og der 5 mapper og jeg er ikke sikker på om de skal være der de 2 af dem?? 1.Imhost: sder står en ip adresse på 127.0.0.1 local host?? maskineen har ik dette ip? 2.secrets.tdb( den kan jeg ikke komme ind i! 3.smb.config / vil have en udskrift :)? 4.smbpasswd. ingen ???here 5.smbusers. root og så har jeg sat #nobody
jeg var lige ind og kigge, nu synes jeg at det ser ud som om de er kommet ind??? hjæællllllp. håber ikke at jeg finder motherf*** det kan godt være at jeg ikke er hardcore til linux, men hos bandidos kender jeg en der er administrator..
se lige ned here, hvad der sker
ug 12 23:08:15 localhost gconfd (root-3046): starter (version 2.14.0), pid 3046 bruger 'root' Aug 12 23:08:15 localhost gconfd (root-3046): Bestemte adressen "xml:readonly:/etc/gconf/gconf.xml.mandatory" til en skrivebeskyttet konfigureringskilde ved position 0 Aug 12 23:08:15 localhost gconfd (root-3046): Bestemte adressen "xml:readwrite:/root/.gconf" til en skrivbar konfigureringskilde ved position 1 Aug 12 23:08:15 localhost gconfd (root-3046): Bestemte adressen "xml:readonly:/etc/gconf/gconf.xml.defaults" til en skrivebeskyttet konfigureringskilde ved position 2 Aug 12 23:08:17 localhost hcid[2067]: Default passkey agent (:1.15, /org/bluez/applet) registered Aug 12 23:08:21 localhost gconfd (root-3046): Bestemte adressen "xml:readwrite:/root/.gconf" til en skrivbar konfigureringskilde ved position 0 Aug 12 23:08:21 localhost pcscd: winscard.c:219:SCardConnect() Reader E-Gate 0 0 Not Found Aug 12 23:08:21 localhost last message repeated 4 times Aug 12 23:12:31 localhost proftpd[3228]: localhost.localdomain (::ffff:10.0.140.220[::ffff:10.0.140.220]) - FTP session opened. Aug 12 23:12:44 localhost nmbd[2331]: [2007/08/12 23:12:44, 0] nmbd/nmbd_incomingdgrams.c:process_local_master_announce(309) Aug 12 23:12:44 localhost nmbd[2331]: process_local_master_announce: Server XP at IP 192.168.0.138 is announcing itself as a local master browser for workgroup FLUFFER and we think we are master. Forcing election. Aug 12 23:12:44 localhost nmbd[2331]: [2007/08/12 23:12:44, 0] nmbd/nmbd_become_lmb.c:unbecome_local_master_success(149) Aug 12 23:12:44 localhost nmbd[2331]: ***** Aug 12 23:12:44 localhost nmbd[2331]: Aug 12 23:12:44 localhost nmbd[2331]: Samba name server LOCALHOST has stopped being a local master browser for workgroup FLUFFER on subnet 192.168.0.107 Aug 12 23:12:44 localhost nmbd[2331]: Aug 12 23:12:44 localhost nmbd[2331]: ***** Aug 12 23:13:01 localhost nmbd[2331]: [2007/08/12 23:13:01, 0] nmbd/nmbd_become_lmb.c:become_local_master_stage2(396) Aug 12 23:13:01 localhost nmbd[2331]: ***** Aug 12 23:13:01 localhost nmbd[2331]: Aug 12 23:13:01 localhost nmbd[2331]: Samba name server LOCALHOST is now a local master browser for workgroup FLUFFER on subnet 192.168.0.107 Aug 12 23:13:01 localhost nmbd[2331]: Aug 12 23:13:01 localhost nmbd[2331]: ***** Aug 12 23:13:23 localhost proftpd[3239]: localhost.localdomain (::ffff:10.0.140.220[::ffff:10.0.140.220]) - FTP session opened. Aug 12 23:15:37 localhost smbd[3255]: [2007/08/12 23:15:37, 0] auth/auth_util.c:create_builtin_administrators(785) Aug 12 23:15:37 localhost smbd[3255]: create_builtin_administrators: Failed to create Administrators Aug 12 23:15:37 localhost smbd[3255]: [2007/08/12 23:15:37, 0] auth/auth_util.c:create_builtin_users(751) Aug 12 23:15:37 localhost smbd[3255]: create_builtin_users: Failed to create Users Aug 12 23:15:37 localhost smbd[3255]: [2007/08/12 23:15:37, 0] smbd/service.c:make_connection_snum(849) Aug 12 23:15:37 localhost smbd[3255]: Can't become connected user! Aug 12 23:15:39 localhost smbd[3256]: [2007/08/12 23:15:39, 0] auth/auth_util.c:create_builtin_administrators(785) Aug 12 23:15:39 localhost smbd[3256]: create_builtin_administrators: Failed to create Administrators Aug 12 23:15:39 localhost smbd[3256]: [2007/08/12 23:15:39, 0] auth/auth_util.c:create_builtin_users(751) Aug 12 23:15:39 localhost smbd[3256]: create_builtin_users: Failed to create Users Aug 12 23:15:39 localhost smbd[3256]: [2007/08/12 23:15:39, 0] smbd/service.c:make_connection_snum(849) Aug 12 23:15:39 localhost smbd[3256]: Can't become connected user! Aug 12 23:18:56 localhost gconfd (root-3046): Afslutter Aug 12 23:18:56 localhost gconfd (root-3288): starter (version 2.14.0), pid 3288 bruger 'root' Aug 12 23:18:56 localhost gconfd (root-3288): Bestemte adressen "xml:readonly:/etc/gconf/gconf.xml.mandatory" til en skrivebeskyttet konfigureringskilde ved position 0 Aug 12 23:18:56 localhost gconfd (root-3288): Bestemte adressen "xml:readwrite:/root/.gconf" til en skrivbar konfigureringskilde ved position 1 Aug 12 23:18:56 localhost gconfd (root-3288): Bestemte adressen "xml:readonly:/etc/gconf/gconf.xml.defaults" til en skrivebeskyttet konfigureringskilde ved position 2 Aug 12 23:19:27 localhost gconfd (root-3288): GConf-server er ikke i brug, lukker ned. Aug 12 23:19:27 localhost gconfd (root-3288): Afslutter
ok. troede bare at du havde glemt mig. jeg har købt en ny router til at hjælpe til, men nu giver den mig bøvl. kan ikke komme ind på serveren udefra. er igang med at prøve at fikse det:)
Det som jeg synes mangler det er en beskrivelse av oppsettet av nettverket plus hva slags oppkopling det er mot internett. Først når disse opplysningene er på plass så blir det liksom overskuelig å gi en tolkning til loggen over.
Første vurdering vil vel være om det dreier seg om et angrep fra innsiden av lan eller fra Internett. Uten opplysninger om gateway/firewall plus antall PC'er på lan etc så blir ikke dette lett å vurdere.
ok.netværk 2 pc`er windows xp pro. og en server fedora 6. alle pc`er går over til routeren. Er det det du mener LANGBEIN?? forbindelse 4 mbit
XP`erne har begge firewall og antivirus. firewallen har blokkeret de angreb som har DoS. har også fået installere diverse programmer til at hjælpe med at stoppe disse angreb på serveren fedora 6.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.