---

Jeg har Samba kørende på en server, og her forleden dag kiggede jeg bare
for sjov inde i log mappen (/var/log/samba).

Der fandt jeg alle mulige mystige logs, et par få eks.:

log.rovfisken
log.afghanistan
log.brandmand
log.fantasifabrik

Umiddelbart er der ikke nogen i min arbejdsgruppe der hedder det.
Jeg prøvede derefter:

henning@minmaskine$ net status sessions
PID Username Group Machine
-------------------------------------------------------------------
12612 * familie uffe (212.10.219.**)
13059 henning henning henning (212.10.189.**)

Hvem er uffe? Der findes 3 computer i min arbejdgruppe, hvoraf ingen
hedder uffe.

Maskinen uffe havde logget sig på/ind med et brugernavn som eksisterer.
Havde gået ind i en mappe til gruppen (familie) og oprettet 2 filer, en
virus, som mit anti-virus opdog med det samme, og en tom "testfile".
Der slukkede jeg straks Samba, nogen der kan give en forklaring på
hvordan dette kunne være sket? Og i såfald hvordan jeg forhindre det?

Jeg tog en backup af log-filerne og tømte så mappen (/var/log/samba).
Genstartede så serveren, loggede mig på serveren via Samba (Brugernavn:
henning), jeg kiggede derefter i (/var/log/samba) der lå jeg så
(log.henning), det så fint nok.
Så prøv at tjekke det her:

henning@minserver$ cd /var/log/samba/
henning@minserver:/var/log/samba$ ls
log.212.10.151.237 log.212.10.189.15 log.henning
henning@minserver:/var/log/samba$ ls
log. log.212.10.104.161 log.212.10.151.237 log.212.10.189.15 log.henning
henning@minserver:/var/log/samba$ ls
log. log.212.10.106.162 log.212.10.151.177
log.212.10.167.53 log.212.10.189.15 log.212.10.83.249
log.212.10.104.161 log.212.10.137.157 log.212.10.151.237
log.212.10.180.222 log.212.10.70.150 log.henning
henning@minserver:/var/log/samba$ ls
log. log.212.10.118.91 log.212.10.151.237
log.212.10.175.185 log.212.10.53.127 log.smbd
log.212.10.104.161 log.212.10.123.211 log.212.10.167.53
log.212.10.177.231 log.212.10.70.150
log.212.10.106.162 log.212.10.137.157 log.212.10.170.146
log.212.10.180.222 log.212.10.83.249
log.212.10.113.243 log.212.10.151.177 log.212.10.171.248
log.212.10.189.15 log.henning
henning@minserver:/var/log/samba$ ls
log. log.212.10.118.91 log.212.10.151.237
log.212.10.175.185 log.212.10.53.127 log.henning
log.212.10.104.161 log.212.10.123.211 log.212.10.167.53
log.212.10.177.231 log.212.10.70.150 log.smbd
log.212.10.106.162 log.212.10.137.157 log.212.10.170.146
log.212.10.180.222 log.212.10.77.58
log.212.10.113.243 log.212.10.151.177 log.212.10.171.248
log.212.10.189.15 log.212.10.83.249
henning@minserver:/var/log/samba$ ls
log. log.212.10.123.211 log.212.10.168.55
log.212.10.180.222 log.212.10.70.150 log.212.10.90.237
log.212.10.104.161 log.212.10.137.157 log.212.10.170.146
log.212.10.189.15 log.212.10.73.235 log.212.10.97.91
log.212.10.106.162 log.212.10.144.161 log.212.10.171.248
log.212.10.225.22 log.212.10.77.58 log.henning
log.212.10.110.38 log.212.10.151.177 log.212.10.174.218
log.212.10.53.127 log.212.10.83.249 log.smbd
log.212.10.113.243 log.212.10.151.237 log.212.10.175.185
log.212.10.67.157 log.212.10.85.191
log.212.10.118.91 log.212.10.167.53 log.212.10.177.231
log.212.10.68.23 log.212.10.85.51
henning@minserver:/var/log/samba$

Det gjorde jeg inden for ét minut!
Hvad sker der?...

Er det mig der har noget konfiguret forkert?


Mvh
- Henning

---

Som jeg forstår det anvender du offentlige IPer. Derved står samba
serveren med forbindelse direkte til internettet.(Det plejer ikke at
være en god ide)

Hver eneste gang en computer forsøger at kontakte dine maskiner opretter
samba typisk en log med enten navnet på maskinen og ellers med IP nummeret.

Så jeg tror ikke nødvendigvis din maskine er blevet cracket, hvis du
ellers har din sikkerhed i orden.

Løsningen er at du opsætter en firewall og spærrer af for indgående port
445,137-139.

Hilsen Mikkel

|-| e n n i n g wrote:
> Jeg har Samba kørende på en server, og her forleden dag kiggede jeg bare
> for sjov inde i log mappen (/var/log/samba).
>
> Der fandt jeg alle mulige mystige logs, et par få eks.:
>
> log.rovfisken
> log.afghanistan
> log.brandmand
> log.fantasifabrik
>
> Umiddelbart er der ikke nogen i min arbejdsgruppe der hedder det.
> Jeg prøvede derefter:
>
> henning@minmaskine$ net status sessions
> PID Username Group Machine
> -------------------------------------------------------------------
> 12612 * familie uffe (212.10.219.**)
> 13059 henning henning henning (212.10.189.**)
>
> Hvem er uffe? Der findes 3 computer i min arbejdgruppe, hvoraf ingen
> hedder uffe.
>
> Maskinen uffe havde logget sig på/ind med et brugernavn som eksisterer.
> Havde gået ind i en mappe til gruppen (familie) og oprettet 2 filer, en
> virus, som mit anti-virus opdog med det samme, og en tom "testfile".
> Der slukkede jeg straks Samba, nogen der kan give en forklaring på
> hvordan dette kunne være sket? Og i såfald hvordan jeg forhindre det?
>
> Jeg tog en backup af log-filerne og tømte så mappen (/var/log/samba).
> Genstartede så serveren, loggede mig på serveren via Samba (Brugernavn:
> henning), jeg kiggede derefter i (/var/log/samba) der lå jeg så
> (log.henning), det så fint nok.
> Så prøv at tjekke det her:
>
> henning@minserver$ cd /var/log/samba/
> henning@minserver:/var/log/samba$ ls
> log.212.10.151.237 log.212.10.189.15 log.henning
> henning@minserver:/var/log/samba$ ls
> log. log.212.10.104.161 log.212.10.151.237 log.212.10.189.15
> log.henning
> henning@minserver:/var/log/samba$ ls
> log. log.212.10.106.162 log.212.10.151.177
> log.212.10.167.53 log.212.10.189.15 log.212.10.83.249
> log.212.10.104.161 log.212.10.137.157 log.212.10.151.237
> log.212.10.180.222 log.212.10.70.150 log.henning
> henning@minserver:/var/log/samba$ ls
> log. log.212.10.118.91 log.212.10.151.237
> log.212.10.175.185 log.212.10.53.127 log.smbd
> log.212.10.104.161 log.212.10.123.211 log.212.10.167.53
> log.212.10.177.231 log.212.10.70.150
> log.212.10.106.162 log.212.10.137.157 log.212.10.170.146
> log.212.10.180.222 log.212.10.83.249
> log.212.10.113.243 log.212.10.151.177 log.212.10.171.248
> log.212.10.189.15 log.henning
> henning@minserver:/var/log/samba$ ls
> log. log.212.10.118.91 log.212.10.151.237
> log.212.10.175.185 log.212.10.53.127 log.henning
> log.212.10.104.161 log.212.10.123.211 log.212.10.167.53
> log.212.10.177.231 log.212.10.70.150 log.smbd
> log.212.10.106.162 log.212.10.137.157 log.212.10.170.146
> log.212.10.180.222 log.212.10.77.58
> log.212.10.113.243 log.212.10.151.177 log.212.10.171.248
> log.212.10.189.15 log.212.10.83.249
> henning@minserver:/var/log/samba$ ls
> log. log.212.10.123.211 log.212.10.168.55
> log.212.10.180.222 log.212.10.70.150 log.212.10.90.237
> log.212.10.104.161 log.212.10.137.157 log.212.10.170.146
> log.212.10.189.15 log.212.10.73.235 log.212.10.97.91
> log.212.10.106.162 log.212.10.144.161 log.212.10.171.248
> log.212.10.225.22 log.212.10.77.58 log.henning
> log.212.10.110.38 log.212.10.151.177 log.212.10.174.218
> log.212.10.53.127 log.212.10.83.249 log.smbd
> log.212.10.113.243 log.212.10.151.237 log.212.10.175.185
> log.212.10.67.157 log.212.10.85.191
> log.212.10.118.91 log.212.10.167.53 log.212.10.177.231
> log.212.10.68.23 log.212.10.85.51
> henning@minserver:/var/log/samba$
>
> Det gjorde jeg inden for ét minut!
> Hvad sker der?...
>
> Er det mig der har noget konfiguret forkert?
>
>
> Mvh
> - Henning


--
From: Mikkel Bundgaard
Replace "invalid" with "dk" in address
homepage: http://www.notfound.dk/main/index.html?page=usenet

---

|-| e n n i n g <co0kie.usenet@ricaplaza.dk> wrote:

>Jeg har Samba kørende på en server, og her forleden dag kiggede jeg bare
>for sjov inde i log mappen (/var/log/samba).
>
>Der fandt jeg alle mulige mystige logs, et par få eks.:
>
>log.rovfisken
>log.afghanistan
>log.brandmand
>log.fantasifabrik

Så vidt jeg kan tyde din Samba log kører du uden bredbåndsrouter - Og så
er der principielt fri adgang til Samba serveren ude fra internettet.





<mlr>

--

Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..

---

Den Sun, 30 Oct 2005 17:12:33 +0100 skrev Michael Rasmussen:
> |-| e n n i n g <co0kie.usenet@ricaplaza.dk> wrote:
>
>>Jeg har Samba kørende på en server, og her forleden dag kiggede jeg bare
>>for sjov inde i log mappen (/var/log/samba).
>>
>>Der fandt jeg alle mulige mystige logs, et par få eks.:
>>
>>log.rovfisken
>>log.afghanistan
>>log.brandmand
>>log.fantasifabrik
>
> Så vidt jeg kan tyde din Samba log kører du uden bredbåndsrouter - Og så
> er der principielt fri adgang til Samba serveren ude fra internettet.

Til gengæld har hans udbyder nok adskillige routere trafikken skal
igennem, uden at det ændrer på sikkerheden. (og hvis det er
CyberCity, har han såmænd nok en bredbåndsrouter alligevel, selv med
offentlige ip-numre. De bruger nemlig ikke en bridge som alle andre).

Du mener NAT, en router i sig selv ændrer ikke på noget.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis <nospam@nospam.invalid> wrote:

>> Så vidt jeg kan tyde din Samba log kører du uden bredbåndsrouter - Og så
>> er der principielt fri adgang til Samba serveren ude fra internettet.
>
>Til gengæld har hans udbyder nok adskillige routere trafikken skal
>igennem, uden at det ændrer på sikkerheden. (og hvis det er
>CyberCity, har han såmænd nok en bredbåndsrouter alligevel, selv med
>offentlige ip-numre. De bruger nemlig ikke en bridge som alle andre).
>
>Du mener NAT, en router i sig selv ændrer ikke på noget.

Jep, jeg mener selvfølgelig en NAT-boks. Men det vil også for langt de
fleste herinde være ensbetydende med en bredbåndsrouter

Mandens lokale netværk kører med offentlige ip-adresser. Det kan man
godt slippe afsted med, hvis man har check på (TCP/IP) netværk. Men for
almindelige dødelige er det ren galimatias..

Jeg vil stærkt anbefale en billig bredbånds router.




<mlr>

--

Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..

---

Den Sun, 30 Oct 2005 17:54:04 +0100 skrev Michael Rasmussen:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>>> Så vidt jeg kan tyde din Samba log kører du uden bredbåndsrouter - Og så
>>> er der principielt fri adgang til Samba serveren ude fra internettet.
>>
>>Til gengæld har hans udbyder nok adskillige routere trafikken skal
>>igennem, uden at det ændrer på sikkerheden. (og hvis det er
>>CyberCity, har han såmænd nok en bredbåndsrouter alligevel, selv med
>>offentlige ip-numre. De bruger nemlig ikke en bridge som alle andre).
>>
>>Du mener NAT, en router i sig selv ændrer ikke på noget.
>
> Jep, jeg mener selvfølgelig en NAT-boks. Men det vil også for langt de
> fleste herinde være ensbetydende med en bredbåndsrouter

Kun den ene vej. NAT kræver en eller anden form for router, ja, men
bare fordi man har en router er det stadig ikke sikkert den kører
NAT. Det skal den konfigureres til.

> Mandens lokale netværk kører med offentlige ip-adresser. Det kan man
> godt slippe afsted med, hvis man har check på (TCP/IP) netværk. Men for
> almindelige dødelige er det ren galimatias..
>
> Jeg vil stærkt anbefale en billig bredbånds router.

Den vil stadig ikke hjælpe sålænge man kører med offentlige IP-adresser,
og dermed ingen NAT.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis <nospam@nospam.invalid> wrote:

>> Jeg vil stærkt anbefale en billig bredbånds router.
>
>Den vil stadig ikke hjælpe sålænge man kører med offentlige IP-adresser,
>og dermed ingen NAT.

Du er da svært påståelig

Kender du en billig bredbåndsrouter der kommer uden NAT i default
opsætning - Jeg gør sgu'tte....



<mlr>

--

Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..

---

Den Sun, 30 Oct 2005 20:39:40 +0100 skrev Michael Rasmussen:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>>> Jeg vil stærkt anbefale en billig bredbånds router.
>>
>>Den vil stadig ikke hjælpe sålænge man kører med offentlige IP-adresser,
>>og dermed ingen NAT.
>
> Du er da svært påståelig
>
> Kender du en billig bredbåndsrouter der kommer uden NAT i default
> opsætning - Jeg gør sgu'tte....

Default-opsætning? Hvis du mener fra ISP'en, så kommer det an på
hvad man har bestilt. Hvis man har bestil offentlige ip-adresser, så
er det uden NAT.

Hvis man køber en separat, går jeg ud fra at den bliver leveret uden
opsætning (men jeg har godt nok ikke tænkt mig at købe en af hver
eneste slags for at checke det), da fabrikanten ikke ved noget om
hvilke ip-adresser man har, eller for den sags skyld om man har fast IP
eller DHCP.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis <nospam@nospam.invalid> writes:

> Hvis man køber en separat, går jeg ud fra at den bliver leveret uden
> opsætning (men jeg har godt nok ikke tænkt mig at købe en af hver
> eneste slags for at checke det), da fabrikanten ikke ved noget om
> hvilke ip-adresser man har, eller for den sags skyld om man har fast IP
> eller DHCP.

Dem jeg har set, var sat op til at NAT'te mod en DHCP-tildelt
IP-adresse. Det er vel ikke en helt tosset opsætning i den her
smamenhæng?

--
Thorbjørn Ravn Andersen

---

Den 30 Oct 2005 22:25:10 +0100 skrev Thorbjoern Ravn Andersen:
> Kent Friis <nospam@nospam.invalid> writes:
>
>> Hvis man køber en separat, går jeg ud fra at den bliver leveret uden
>> opsætning (men jeg har godt nok ikke tænkt mig at købe en af hver
>> eneste slags for at checke det), da fabrikanten ikke ved noget om
>> hvilke ip-adresser man har, eller for den sags skyld om man har fast IP
>> eller DHCP.
>
> Dem jeg har set, var sat op til at NAT'te mod en DHCP-tildelt
> IP-adresse. Det er vel ikke en helt tosset opsætning i den her
> smamenhæng?

Det kommer jo an på om man har bestilt DHCP eller fast IP. Personligt
bestiller jeg altid fast IP (selvom de £½¤%#¤% hundeho'der til Tele2
har ændret det til DHCP og ikke kan finde ud af at rette det tilbage
igen, men det er en helt anden snak).

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

|-| e n n i n g wrote:
> Jeg har Samba kørende på en server, og her forleden dag kiggede jeg bare
> for sjov inde i log mappen (/var/log/samba).
[..]
> Er det mig der har noget konfiguret forkert?

Du har åbenbart valgt, at hele verdenen skal have IP adgang til din
Samba server. Derfor bør du sætte password adgang op, så det kun er
autoriserede brugere der kan logge ind.

Alternativt kan du benytte et IP filter eller Samba indbyggede IP
adgangsliste til at begrænse adgangen til dine egne maskiner.


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Alex Holst skrev:
> |-| e n n i n g wrote:
> [..]
>
>> Er det mig der har noget konfiguret forkert?
>
>
> Du har åbenbart valgt, at hele verdenen skal have IP adgang til din
> Samba server. Derfor bør du sætte password adgang op, så det kun er
> autoriserede brugere der kan logge ind.
>
> Alternativt kan du benytte et IP filter eller Samba indbyggede IP
> adgangsliste til at begrænse adgangen til dine egne maskiner.
>
>

Der er INGEN gæste adgang, man SKAL logge på for at komme til filerne.
Men maskinen "uffe" har på en måde gættet både brugernavn og kodeord.
Da den har lagt 2 filer ind.

Det med IP filter vil ikke du.
Da både vi kører med dynamisk IP adresse, serveren har et dyndns.org
domæne, hvor den opdatere dens IP adresse til.

Men kan man istedet begrænse adgangen via vores maskin navne? F.eks min
maskine HENNING, og så de to andre?

Mvh
- Henning

---

On Sun, 30 Oct 2005 20:48:30 +0100, |-| e n n i n g
<co0kie.usenet@ricaplaza.dk> wrote:

>Der er INGEN gæste adgang, man SKAL logge på for at komme til filerne.
>Men maskinen "uffe" har på en måde gættet både brugernavn og kodeord.
>Da den har lagt 2 filer ind.

Maskinen er kompromitteret - Der har været uønsket adgang til den.
Principielt kan du ikke længere stole på den. Der kan være lagt
utallige bagdøre og andet djævelskab ind på den. Jeg ville nok
re-formattere og starte på en frisk....

>Det med IP filter vil ikke du.
>Da både vi kører med dynamisk IP adresse, serveren har et dyndns.org
>domæne, hvor den opdatere dens IP adresse til.
>
>Men kan man istedet begrænse adgangen via vores maskin navne? F.eks min
>maskine HENNING, og så de to andre?

Foreslår du køber en bredbåndsrouter så du får isoleret dit lokalnet
fra resten af internettet...

Det er fuldstændig vanvid at køre windows maskiner og en samba server
på offentlige ip-adresser. Du har i princippet åbnet dit lokalnet mod
hele internettet så enhver har fri adgang....

---

MadHatter skrev:
>
>
> Foreslår du køber en bredbåndsrouter så du får isoleret dit lokalnet
> fra resten af internettet...
>
> Det er fuldstændig vanvid at køre windows maskiner og en samba server
> på offentlige ip-adresser. Du har i princippet åbnet dit lokalnet mod
> hele internettet så enhver har fri adgang....
>

Umiddelbart hjælper en firewall og anti-virus jo en del.

---

On Mon, 31 Oct 2005 16:18:52 +0100, |-| e n n i n g
<co0kie.usenet@ricaplaza.dk> wrote:

>MadHatter skrev:
>> Det er fuldstændig vanvid at køre windows maskiner og en samba server
>> på offentlige ip-adresser. Du har i princippet åbnet dit lokalnet mod
>> hele internettet så enhver har fri adgang....
>>
>
>Umiddelbart hjælper en firewall og anti-virus jo en del.

Tja. Formoder at Samba kører på en Linux maskine. Og den er
kompromitteret idet der har været uautoriseret adgang til den. Kan du
garantere at der ikke er installeret et root kit på den, så det nu er
HackerHassan og ikke dig, der har kontrollen over den.

Firewall skriver du - Det er jo det der mangler.

Jeg ser gerne at firewall'en består i en NAT'ende router der effektivt
isolerer dit lokalnetværk fra resten af internettet.

Du har formentlig startet XP's indbyggede firewall på dine maskiner.
Det batter bare ikke rigtigt når du kører windows fil- og
udskriftsdeling på offentlige ip-adresser: Du er jo tvunget til at
åbne et antal kritiske porte i firewall'en og dermed er der fri adgang
for angreb udefra...

---

|-| e n n i n g wrote:
> Der er INGEN gæste adgang, man SKAL logge på for at komme til filerne.
> Men maskinen "uffe" har på en måde gættet både brugernavn og kodeord.

Så må du jo højne kravet til komplexiteten af adgangskoder. Er du
*sikker* på, at der er krav om adgangskode? Du kunne jo fortælle os
adressen på serveren og håbe nogen gad checke efter.

> Men kan man istedet begrænse adgangen via vores maskin navne? F.eks min
> maskine HENNING, og så de to andre?

Remote maskiner kan opgive hvilket som helst navn de har lyst, så at
sætte sådan en begræsning er vil blot være endnu en plain text adgangskode.

Gå efter noget stærkere. Findes authpf, eller lignende, til dit system?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

|-| e n n i n g <co0kie.usenet@ricaplaza.dk> writes:

> Men kan man istedet begrænse adgangen via vores maskin navne? F.eks
> min maskine HENNING, og så de to andre?

Det kan du vel gøre med hosts.allow.
--
mvh Jes Vestervang @ Debian Sid