CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede cryforsoul Nybegynder
11. august 2007 - 18:09 Der er 16 kommentarer

Er der her et angreb,linux fedora logfile copy

nu har jeg installeret firewall, men jeg har ikke forstået om min samba server og er under angreb. om jeg har fået lukket alle hullerne.. se lige her!

Aug 11 00:41:46 localhost smbd[16884]:  Can't become connected user!
Aug 11 00:41:52 localhost smbd[16885]: [2007/08/11 00:41:52, 0] auth/auth_util.c:create_builtin_administrators(785)
Aug 11 00:41:52 localhost smbd[16885]:  create_builtin_administrators: Failed to create Administrators
Aug 11 00:41:52 localhost smbd[16885]: [2007/08/11 00:41:52, 0] auth/auth_util.c:create_builtin_users(751)
Aug 11 00:41:52 localhost smbd[16885]:  create_builtin_users: Failed to create Users
Aug 11 00:41:52 localhost smbd[16885]: [2007/08/11 00:41:52, 0] smbd/service.c:make_connection_snum(849)
Aug 11 00:41:52 localhost smbd[16885]:  Can't become connected user!
Aug 11 00:43:30 localhost smbd[16890]: [2007/08/11 00:43:30, 0] auth/auth_util.c:create_builtin_administrators(785)
Aug 11 00:43:30 localhost smbd[16890]:  create_builtin_administrators: Failed to create Administrators
Aug 11 00:43:30 localhost smbd[16890]: [2007/08/11 00:43:30, 0] auth/auth_util.c:create_builtin_users(751)
Aug 11 00:43:30 localhost smbd[16890]:  create_builtin_users: Failed to create Users
Aug 11 00:43:30 localhost smbd[16890]: [2007/08/11 00:43:30, 0] smbd/service.c:make_connection_snum(849)
Aug 11 00:43:30 localhost smbd[16890]:  Can't become connected user!
Aug 11 00:43:30 localhost smbd[16890]: [2007/08/11 00:43:30, 0] auth/auth_util.c:create_builtin_administrators(785)
Aug 11 00:43:30 localhost smbd[16890]:  create_builtin_administrators: Failed to create Administrators
Aug 11 00:43:30 localhost smbd[16890]: [2007/08/11 00:43:30, 0] auth/auth_util.c:create_builtin_users(751)
Aug 11 00:43:30 localhost smbd[16890]:  create_builtin_users: Failed to create Users
Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] auth/auth_util.c:create_builtin_administrators(785)
Aug 11 00:50:41 localhost smbd[16902]:  create_builtin_administrators: Failed to create Administrators
Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] auth/auth_util.c:create_builtin_users(751)
Aug 11 00:50:41 localhost smbd[16902]:  create_builtin_users: Failed to create Users
Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] smbd/service.c:make_connection_snum(849)
Aug 11 00:50:41 localhost smbd[16902]:  Can't become connected user!
Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] auth/auth_util.c:create_builtin_administrators(785)
Aug 11 00:50:41 localhost smbd[16902]:  create_builtin_administrators: Failed to create Administrators
Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] auth/auth_util.c:create_builtin_users(751)
Aug 11 00:50:41 localhost smbd[16902]:  create_builtin_users: Failed to create Users
Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] auth/auth_util.c:create_builtin_administrators(785)
Aug 11 00:50:41 localhost smbd[16902]:  create_builtin_administrators: Failed to create Administrators
Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] auth/auth_util.c:create_builtin_users(751)
Aug 11 00:50:41 localhost smbd[16902]:  create_builtin_users: Failed to create Users
Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] smbd/service.c:make_connection_snum(849)
Aug 11 00:50:41 localhost smbd[16902]:  Can't become connected user!
Aug 11 00:50:41 localhost smbd[16902]: [2007/08/11 00:50:41, 0] auth/auth_util.c:create_builtin_administrators(785)


Er det et angreb??

og må den sige..
[2007/08/11 17:48:42, 0] nmbd/nmbd_incomingdgrams.c:process_local_master_announce(309)
Aug 11 17:48:42 localhost nmbd[2294]:  process_local_master_announce: Server XP at IP 192.168.0.138 is announcing itself as a local master browser for workgroup FLUFFER and we think we are master. Forcing election.
Aug 11 17:48:42 localhost nmbd[2294]: [2007/08/11 17:48:42, 0] nmbd/nmbd_become_lmb.c:unbecome_local_master_success(149)
Aug 11 17:48:42 localhost nmbd[2294]:  *****
Aug 11 17:48:42 localhost nmbd[2294]:   
Aug 11 17:48:42 localhost nmbd[2294]:  Samba name server LOCALHOST has stopped being a local master browser for workgroup FLUFFER on subnet 192.168.0.107
Aug 11 17:48:42 localhost nmbd[2294]:   
Aug 11 17:48:42 localhost nmbd[2294]:  *****
Aug 11 17:48:59 localhost nmbd[2294]: [2007/08/11 17:48:59, 0] nmbd/nmbd_become_lmb.c:become_local_master_stage2(396)
Aug 11 17:48:59 localhost nmbd[2294]:  *****
Aug 11 17:48:59 localhost nmbd[2294]:   
Aug 11 17:48:59 localhost nmbd[2294]:  Samba name server LOCALHOST is now a local master browser for workgroup FLUFFER on subnet 192.168.0.107
Aug 11 17:48:59 localhost nmbd[2294]:   
Aug 11 17:48:59 localhost nmbd[2294]:  *****
Aug 11 17:50:42 localhost nmbd[2294]: [2007/08/11 17:50:42, 0] nmbd/nmbd_incomingdgrams.c:process_local_master_announce(309)
Aug 11 17:50:42 localhost nmbd[2294]:  process_local_master_announce: Server XP at IP 192.168.0.138 is announcing itself as a.


skal den sige dette???eller er det fordi, der noget der er åbent et sted??

takker alle savr:*)
Avatar billede bufferzone Praktikant
11. august 2007 - 21:04 #1
Der foregår nogle ting som jeg ikke bryder mig om. Umiddelbart ser det ud som om du er udsat for en eller anden form for exploit eller scriptet angreb mod din samba server. Det er der jeg er overrasket over at se er tidsintervallet mellem de enkelte forespørgsler hvilket kunne indikerer at der er tale angreb mod flere mål eller at der bruges et tilpasset script der har intervallerne indbygget.

Det andet udklip fra loggen foregår lokalt og ligner ikke et angreb, men du bør være mistænkelig når det ses i sammenhæng med det andet.

At blive mere præcis er meget vandskeligt når jeg ikke kender netværket, opsætningen og hvorfra loggen kommer
Avatar billede janpo Nybegynder
11. august 2007 - 22:16 #2
Du kan få mere detaljeret information hvis du tilføjer "log level = 4" i din smb.conf. Den kan sættes op til 20, hvis jeg husker rigtigt, men så får du mere information end du ønsker :-)

Anden del af loggen ligner en helt normal "Browser election". Jeg vil gætte på at du har "local master = yes" i din smb.conf. Og det er helt iorden med mindre du er medlem af AD hvor DC'erne skal være browse master'e.
"os level" styrer hvilke versioner af Windows din Samba server "vinder" elections over.
Avatar billede cryforsoul Nybegynder
12. august 2007 - 21:07 #3
bufferzone.

ja, jeg tænkte det nok. men jeg ved ikke og kan ikke se hvor angrebet skulle komme fra!

hvad skal du have at vide for at kunne hjælpe mig???

jeg har set det script før, og havde snakket med en fra mit arbejde. Men man kan da ikke se min samba server netværk udefra vel?? så vil jeg gætte at det kun kan være en inde netværket. Måske en udbyder??
Avatar billede cryforsoul Nybegynder
12. august 2007 - 21:30 #4
Janpo...

eg vil gætte på at du har "local master = yes" i din smb.conf.

skal jeg da sætte den til no" ??

jeg er ikke medlem af AD og ener ikke hvad dette er:)
Avatar billede cryforsoul Nybegynder
12. august 2007 - 21:44 #5
Janpo..log level = 4

den står til =20
Avatar billede bufferzone Praktikant
12. august 2007 - 22:02 #6
lad mig kikke mig lidt omkring og i morgen er det jo hverdag og så er der adgang til at sætte flere hjerner bag. jeg vender tilbage.

Jeg kunne dog godt tænke mig at stille to spørgsmål.

Virker din samba server som den skal og kan alle de maskiner der skal tilgå den gøre dette.

Hvis en af dine maskiner ikke kan tilgå serveren, hvad giver det så i loggen
Avatar billede cryforsoul Nybegynder
12. august 2007 - 22:13 #7
De kan alle komme ind.jeg forstår bare ikke at man kan se den Samba serveren udenfor netværket??
Avatar billede cryforsoul Nybegynder
12. august 2007 - 22:48 #8
hej, jeg var ind og kigge på /etc/samba. og der 5 mapper og jeg er ikke sikker på om de skal være der de 2 af dem??
1.Imhost: sder står en ip adresse på 127.0.0.1 local host?? maskineen har ik dette ip?
2.secrets.tdb( den kan jeg ikke komme ind i!
3.smb.config / vil have en udskrift :)?
4.smbpasswd. ingen ???here
5.smbusers. root og så har jeg sat #nobody

Måske kan dette hjælpe lidt
Avatar billede bufferzone Praktikant
12. august 2007 - 23:02 #9
prøv at tage en kopi af secrets.tdb så du ikke ødelægger noget. Prøv derefter at åbne filen i en text editor, f.eks kwrite

Hvis det ikke virker så kik på den i en hexeditor. Jeg husker ikke lige en let, jeg bruger selv emacs
Avatar billede cryforsoul Nybegynder
12. august 2007 - 23:21 #10
den gider ikke aåbne med nogen som helst programmer.den skriver

kunne ike bestemme tegnkodning. jeg har prøve med et andet tegnkodning, med fik samme resultat
Avatar billede cryforsoul Nybegynder
12. august 2007 - 23:33 #11
jeg var lige ind og kigge, nu synes jeg at det ser ud som om de er kommet ind???
hjæællllllp. håber ikke at jeg finder motherf*** det kan godt være at jeg ikke er hardcore til linux, men hos bandidos kender jeg en der er administrator..

se lige ned here, hvad der sker


ug 12 23:08:15 localhost gconfd (root-3046): starter (version 2.14.0), pid 3046 bruger 'root'
Aug 12 23:08:15 localhost gconfd (root-3046): Bestemte adressen "xml:readonly:/etc/gconf/gconf.xml.mandatory" til en skrivebeskyttet konfigureringskilde ved position 0
Aug 12 23:08:15 localhost gconfd (root-3046): Bestemte adressen "xml:readwrite:/root/.gconf" til en skrivbar konfigureringskilde ved position 1
Aug 12 23:08:15 localhost gconfd (root-3046): Bestemte adressen "xml:readonly:/etc/gconf/gconf.xml.defaults" til en skrivebeskyttet konfigureringskilde ved position 2
Aug 12 23:08:17 localhost hcid[2067]: Default passkey agent (:1.15, /org/bluez/applet) registered
Aug 12 23:08:21 localhost gconfd (root-3046): Bestemte adressen "xml:readwrite:/root/.gconf" til en skrivbar konfigureringskilde ved position 0
Aug 12 23:08:21 localhost pcscd: winscard.c:219:SCardConnect() Reader E-Gate 0 0 Not Found
Aug 12 23:08:21 localhost last message repeated 4 times
Aug 12 23:12:31 localhost proftpd[3228]: localhost.localdomain (::ffff:10.0.140.220[::ffff:10.0.140.220]) - FTP session opened.
Aug 12 23:12:44 localhost nmbd[2331]: [2007/08/12 23:12:44, 0] nmbd/nmbd_incomingdgrams.c:process_local_master_announce(309)
Aug 12 23:12:44 localhost nmbd[2331]:  process_local_master_announce: Server XP at IP 192.168.0.138 is announcing itself as a local master browser for workgroup FLUFFER and we think we are master. Forcing election.
Aug 12 23:12:44 localhost nmbd[2331]: [2007/08/12 23:12:44, 0] nmbd/nmbd_become_lmb.c:unbecome_local_master_success(149)
Aug 12 23:12:44 localhost nmbd[2331]:  *****
Aug 12 23:12:44 localhost nmbd[2331]:   
Aug 12 23:12:44 localhost nmbd[2331]:  Samba name server LOCALHOST has stopped being a local master browser for workgroup FLUFFER on subnet 192.168.0.107
Aug 12 23:12:44 localhost nmbd[2331]:   
Aug 12 23:12:44 localhost nmbd[2331]:  *****
Aug 12 23:13:01 localhost nmbd[2331]: [2007/08/12 23:13:01, 0] nmbd/nmbd_become_lmb.c:become_local_master_stage2(396)
Aug 12 23:13:01 localhost nmbd[2331]:  *****
Aug 12 23:13:01 localhost nmbd[2331]:   
Aug 12 23:13:01 localhost nmbd[2331]:  Samba name server LOCALHOST is now a local master browser for workgroup FLUFFER on subnet 192.168.0.107
Aug 12 23:13:01 localhost nmbd[2331]:   
Aug 12 23:13:01 localhost nmbd[2331]:  *****
Aug 12 23:13:23 localhost proftpd[3239]: localhost.localdomain (::ffff:10.0.140.220[::ffff:10.0.140.220]) - FTP session opened.
Aug 12 23:15:37 localhost smbd[3255]: [2007/08/12 23:15:37, 0] auth/auth_util.c:create_builtin_administrators(785)
Aug 12 23:15:37 localhost smbd[3255]:  create_builtin_administrators: Failed to create Administrators
Aug 12 23:15:37 localhost smbd[3255]: [2007/08/12 23:15:37, 0] auth/auth_util.c:create_builtin_users(751)
Aug 12 23:15:37 localhost smbd[3255]:  create_builtin_users: Failed to create Users
Aug 12 23:15:37 localhost smbd[3255]: [2007/08/12 23:15:37, 0] smbd/service.c:make_connection_snum(849)
Aug 12 23:15:37 localhost smbd[3255]:  Can't become connected user!
Aug 12 23:15:39 localhost smbd[3256]: [2007/08/12 23:15:39, 0] auth/auth_util.c:create_builtin_administrators(785)
Aug 12 23:15:39 localhost smbd[3256]:  create_builtin_administrators: Failed to create Administrators
Aug 12 23:15:39 localhost smbd[3256]: [2007/08/12 23:15:39, 0] auth/auth_util.c:create_builtin_users(751)
Aug 12 23:15:39 localhost smbd[3256]:  create_builtin_users: Failed to create Users
Aug 12 23:15:39 localhost smbd[3256]: [2007/08/12 23:15:39, 0] smbd/service.c:make_connection_snum(849)
Aug 12 23:15:39 localhost smbd[3256]:  Can't become connected user!
Aug 12 23:18:56 localhost gconfd (root-3046): Afslutter
Aug 12 23:18:56 localhost gconfd (root-3288): starter (version 2.14.0), pid 3288 bruger 'root'
Aug 12 23:18:56 localhost gconfd (root-3288): Bestemte adressen "xml:readonly:/etc/gconf/gconf.xml.mandatory" til en skrivebeskyttet konfigureringskilde ved position 0
Aug 12 23:18:56 localhost gconfd (root-3288): Bestemte adressen "xml:readwrite:/root/.gconf" til en skrivbar konfigureringskilde ved position 1
Aug 12 23:18:56 localhost gconfd (root-3288): Bestemte adressen "xml:readonly:/etc/gconf/gconf.xml.defaults" til en skrivebeskyttet konfigureringskilde ved position 2
Aug 12 23:19:27 localhost gconfd (root-3288): GConf-server er ikke i brug, lukker ned.
Aug 12 23:19:27 localhost gconfd (root-3288): Afslutter
Avatar billede cryforsoul Nybegynder
15. august 2007 - 20:41 #12
hva?? 
er der ikke nogen hjælp her??
Avatar billede bufferzone Praktikant
15. august 2007 - 21:18 #13
Jeg har ikke lige haft tid til at kikke på det, jeg håber at nå det i morgen
Avatar billede cryforsoul Nybegynder
15. august 2007 - 23:34 #14
ok. troede bare at du havde glemt mig. jeg har købt en ny router til at hjælpe til, men nu giver den mig bøvl. kan ikke komme ind på serveren udefra.
er igang med at prøve at fikse det:)
Avatar billede langbein Nybegynder
16. august 2007 - 11:50 #15
Det som jeg synes mangler det er en beskrivelse av oppsettet av nettverket plus hva slags oppkopling det er mot internett. Først når disse opplysningene er på plass så blir det liksom overskuelig å gi en tolkning til loggen over.

Første vurdering vil vel være om det dreier seg om et angrep fra innsiden av lan eller fra Internett. Uten opplysninger om gateway/firewall plus antall PC'er på lan etc så blir ikke dette lett å vurdere.
Avatar billede cryforsoul Nybegynder
16. august 2007 - 22:34 #16
ok.netværk 2 pc`er windows xp pro. og en server fedora 6. alle pc`er går over til routeren. Er det det du mener LANGBEIN?? forbindelse 4 mbit

XP`erne har begge firewall og antivirus. firewallen har blokkeret de angreb som har DoS. har også fået installere diverse programmer til at hjælpe med at stoppe disse angreb på serveren fedora 6.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Linux kategorien

Titel Indlæg Oprettet Seneste aktivitet
HP Laserjet MFP M176n på Linux Af 220661 i Linux 12 18/06/202408:38 22/06/202415:49
Antivirus til en Linux Mint computer? Af Polle i Linux 8 19/05/202409:13 23/05/202409:07
Monitor mode kali linux Af Braindead mac user i Linux 2 03/05/202409:53 03/05/202410:24
ubuntu - er der nogen der har erfaring med dette? Af Uvanga i Linux 10 27/04/202409:01 29/04/202411:54
Dual boot mac Af Braindead mac user i Linux 5 25/04/202411:11 01/05/202412:03
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 21:08 Hvor kan man se Alan Turings mekaniske apparat til at løse Enignas koder Af KurtG i Andet hardware
I går 18:46 Kan det passe ;-) Af fjorbak i Routere & Switches
I går 15:27 Billeder kan ikke åbnes Jpeg.modd Af KristinaS i Billedbehandling
I går 13:44 eM Client Af valby i E-mail programmer
I går 13:33 Facebook gruppe Af Btimmer i Sociale medier
White papers
Flere white papers »


Premium
Teaser billede
Det er blevet kaldt ”det største it-nedbrud i historien” og omkostningerne kan nemt løbe op i syv milliarder kroner: Men hvem skal betale for Crowdstrikes fejl?
Læs mere »
Europas største software-leverandør stryger frem på cloud-fronten – men 97 procent af overskuddet er forduftet
Frustrerede synshaller og billister: Motorstyrelsens it-system plages af store driftsforstyrrelser
Fire år gamle Wiz takker nej til Alphabets historiske opkøbstilbud på 160 milliarder kroner: Satser i stedet på børsnotering
Se alle »
Computerworld
Teaser billede
Microsoft-nedbrud spreder sig: It-systemer i lufthavne verden over er ramt
Læs mere »
Test: Denne mikro-pc er smartere end de stærkeste desktop-maskiner - men flopper alligevel
Elon Musk dropper CrowdStrike efter kæmpe nedbrud
Hundredevis af flyafgange ramt af stort Microsoft-nedbrud
Se alle »
CIO
Teaser billede
Microsoft er på sagen: I gang med at løse kæmpe nedbrud efter katastrofal Crowdstrike-fejl
Læs mere »
Så mange Microsoft-enheder blev ramt af gigantisk Crowdstrike-koks
Peter Lüth udlever CTO-drømmen: Bygger et system fra bunden og tjener kassen på det
Sådan forbereder energiselskabet OK sig på cyberangreb: "Prisen for ikke at gøre noget kan være forfærdeligt høj"
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
KMD-direktør forlader selskabet: Det skal hun nu
Se alle »
White paper
Teaser billede
Optimering af Source-to-Pay: Identificér oplagte gevinster og skær omkostninger
Læs mere »
Sådan får du overblik og beskytter dine cloudapplikationer
Sådan gør du: Elektronisk dokumentudveksling i praksis
SASE: Træf det rette valg – første gang
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »