---

Hej NG.

Jeg har netop opdaget at filsystemet på min server er blevet fyldt op
med en fil med navnet beck.eml. Nogen der har en ide om hvor den
kommer fra, og hvor slemt det er?

Google har ikke rigtig kunne sige noget - andet end en der mener, det
kan være Nimda - hvilket er lidt usandsynligt, da det er en Linux
kasse.

Maskinen kører Apache, OpenSSH(3.3) og proftpd ud mod nettet. Så er
der MySQL, Samba og qmail - men dem er der lukket for i firewallen.

Med venlig hilsen
- Jacob Atzen

---

Jacob Atzen wrote:
> Hej NG.
>
> Jeg har netop opdaget at filsystemet på min server er blevet fyldt op
> med en fil med navnet beck.eml. Nogen der har en ide om hvor den
> kommer fra, og hvor slemt det er?

Hvor ligger filen, hvem ejer den, hvor stor er den, hvad er access og
oprettelse datoen?

Hvilken distro kører du?

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> writes:

> Hvor ligger filen, hvem ejer den, hvor stor er den, hvad er access og
> oprettelse datoen?

/lost+found/beck.eml
/var/lib/beck.eml
/var/log/qmail/beck.eml
/var/log/beck.eml
/var/db/beck.eml
/var/lock/beck.eml
/var/nis/beck.eml
/var/run/beck.eml
/var/spool/mail/beck.eml
/var/spool/at/beck.eml
/var/spool/rwho/beck.eml
/var/spool/mqueue/beck.eml
/var/tmp/beck.eml
/var/yp/beck.eml

Og sådan forsætter det ellers rundt i div. kataloger.

> Hvilken distro kører du?

RH6.2 med en masse "håndoversatte" programmer.

- Jacob

---

Jacob Atzen wrote:
>>Hvor ligger filen, hvem ejer den, hvor stor er den, hvad er access og
>>oprettelse datoen?
> /lost+found/beck.eml
....
> /var/yp/beck.eml

Hvad med de andre spørgsmål? (brug evt. "stat" kommandoen)

> Og sådan forsætter det ellers rundt i div. kataloger.

I alle katalogerne eller kun nogle, kan evt. se et system?

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> writes:

> Hvad med de andre spørgsmål? (brug evt. "stat" kommandoen)

$ stat /beck.eml
File: "/beck.eml"
Size: 65475 Filetype: Regular File
Mode: (0744/-rwxr--r--) Uid: ( 0/ root) Gid: ( 0/
root)
Device: 3,1 Inode: 2130 Links: 1
Access: Fri Jun 28 18:24:04 2002(00000.11:53:14)
Modify: Thu Jun 27 16:53:37 2002(00001.13:23:41)
Change: Thu Jun 27 16:53:37 2002(00001.13:23:41)
$ stat /usr/sbin/beck.eml
File: "/usr/sbin/beck.eml"
Size: 79232 Filetype: Regular File
Mode: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/
root)
Device: 3,1 Inode: 130596 Links: 1
Access: Wed Jun 26 10:14:16 2002(00002.20:03:06)
Modify: Wed Jun 26 10:14:16 2002(00002.20:03:06)
Change: Thu Jun 27 12:07:43 2002(00001.18:09:39)

> I alle katalogerne eller kun nogle, kan evt. se et system?

Alle andre jeg har undersøgt har samme størrelse og access/modify
tidspunkt som den i /usr/sbin, change varierer dog.

Der er ikke rigtig noget system at se, virker ret tilfældigt, hvor
filerne ligger. Umiddelbart ser det ud som om de ligger i næsten
samtlige kataloger - filsystemet var fyldt, da jeg fandt ud af det.

- Jacob

---

Jacob Atzen wrote:
>>I alle katalogerne eller kun nogle, kan evt. se et system?
>
>
> Alle andre jeg har undersøgt har samme størrelse og access/modify

Har dit stat dump har de ikke samme størrelse, men den store fil er også
blivet ændret siden den er blevet oprettet.

Det undre mig at root ejer filen, har du en samba konfiguration der
tillader adgang til /, som Alex gætter sig til, hvor filerne bliver
skrevet med root rettigheder?

Hvis ovenstående er tilfældet har du et _stort_ problem.

> tidspunkt som den i /usr/sbin, change varierer dog.
>
> Der er ikke rigtig noget system at se, virker ret tilfældigt, hvor
> filerne ligger. Umiddelbart ser det ud som om de ligger i næsten
> samtlige kataloger - filsystemet var fyldt, da jeg fandt ud af det.

Kan du evt. inkl. din samba configurations fil, evt kan du klippe
kommentarene væk med "grep -V '#' /etc/samba.conf" (eller hvor den nu
ligger).

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> writes:

> Har dit stat dump har de ikke samme størrelse, men den store fil er
> også blivet ændret siden den er blevet oprettet.
>
> Det undre mig at root ejer filen, har du en samba konfiguration der
> tillader adgang til /, som Alex gætter sig til, hvor filerne bliver
> skrevet med root rettigheder?
>
> Hvis ovenstående er tilfældet har du et _stort_ problem.

Det havde jeg. Nu er jeg så blevet klogere. Og det er jo en "god ting"


Tak for hjælpen til alle.

- Jacob

---

Jacob Atzen wrote:
> Det havde jeg. Nu er jeg så blevet klogere. Og det er jo en "god ting"
>

Dvs. din samba konfiguration tillod dine brugere at overskrive alt med
root rettigheder?

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> writes:

> Dvs. din samba konfiguration tillod dine brugere at overskrive alt med
> root rettigheder?

Ja, det vil det jo så.

- Jacob

---

Jacob Atzen wrote:
> Hej NG.
>
> Jeg har netop opdaget at filsystemet på min server er blevet fyldt op
> med en fil med navnet beck.eml. Nogen der har en ide om hvor den
> kommer fra, og hvor slemt det er?

Jeg vil skyde på "Nimda".

> Google har ikke rigtig kunne sige noget - andet end en der mener, det
> kan være Nimda - hvilket er lidt usandsynligt, da det er en Linux
> kasse.

Du finder nok heller ikke noget ved at søge på det filnavn, da det er lavet
ud fra et allerede eksisterende filnavn på din computer. (eller en andens
computer).

> Maskinen kører Apache, OpenSSH(3.3) og proftpd ud mod nettet. Så er
> der MySQL, Samba og qmail - men dem er der lukket for i firewallen.

Kan det være fordi du har givet lidt for meget adgang til samba - og din
Windows maskine nu er inficeret? Nimda spreder sig nemlig igennem alle
mulige network shares.

--
Anders Lund - news@anders.adsl.dk
Message enhanced by "OE-QuoteFix" - http://home.in.tum.de/~jain/
Keyboard counter - http://project-dolphin.net/

---

"Anders Lund" <news@anders.adsl.dk> writes:

> Kan det være fordi du har givet lidt for meget adgang til samba - og din
> Windows maskine nu er inficeret? Nimda spreder sig nemlig igennem alle
> mulige network shares.

Det er en mulighed. Men så skal Nimda være trængt ind på en Windows kasse
der står i et nat'et netværk. Kan det lade sig gøre?

- Jacob

---

Jacob Atzen wrote:
>> Kan det være fordi du har givet lidt for meget adgang til samba - og din
>> Windows maskine nu er inficeret? Nimda spreder sig nemlig igennem alle
>> mulige network shares.
>
> Det er en mulighed. Men så skal Nimda være trængt ind på en Windows kasse
> der står i et nat'et netværk. Kan det lade sig gøre?

Ja, det er der ikke noget i vejen for. Nimda er en orm som spreder sig via
Windows... Via mail og hjemmesider. Læs om den her:
http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html

--
Anders Lund - news@anders.adsl.dk
Message enhanced by "OE-QuoteFix" - http://home.in.tum.de/~jain/
Keyboard counter - http://project-dolphin.net/

---

"Anders Lund" <news@anders.adsl.dk> writes:

> Ja, det er der ikke noget i vejen for. Nimda er en orm som spreder sig via
> Windows... Via mail og hjemmesider. Læs om den her:
> http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html

Så er der sikkert nogen her i huset, der har fået smittet deres Windows
kasse. Synes ellers jeg har opgraderet allesammen med de nyeste patches
fra M$ :-/

- Jacob

---

Jacob Atzen <jacob_a@spamos.dk> wrote:
> "Anders Lund" <news@anders.adsl.dk> writes:
>
>> Ja, det er der ikke noget i vejen for. Nimda er en orm som spreder sig via
>> Windows... Via mail og hjemmesider. Læs om den her:
>> http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html
>
> Så er der sikkert nogen her i huset, der har fået smittet deres Windows
> kasse. Synes ellers jeg har opgraderet allesammen med de nyeste patches
> fra M$ :-/

Check dine samba logs for at finde synderen, ret dine UNIX file
permissions, design evt. dine samba shares helt forfra (hvem har dog
brug for at skrive til /var/log via et samba share?!?!) og brug en
passende find kommando til at rydde op paa din maskine.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/