Hi nochmal, Gestern erhielt ich merkwürdige Einträge in /v/l/m und /v/l/samba/ log.smbd. Der betreffende Rechner ist der SuSE 9.0 PDC (2.2.8) mit fester IP im Internet. Alle Onlineupdates sind zeitnah durchgeführt worden. Muss ich mir jetzt Sorgen machen oder war's ein Hackversuch der daneben ging? -----------/v/l/m------------------------------------- smbd[24297]: ERROR: string overflow by 949 in safe_strcpy [\220 \220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220 \220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220 \220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220 \220] ------------------------------------------------------ Diese Meldung taucht innerhalb einer Sekunde etwa 50 mal auf. -----------/v/l/samba/log.smbd------------------- ERROR: string overflow by 949 in safe_strcpy [] [2004/01/14 18:27:21, 0] lib/util_str.c:safe_strcpy(907) ERROR: string overflow by 949 in safe_strcpy [] ------------------------------------------------------ Im Netz finde ich leider nicht wirklich Infos darüber. Was war das, und was muss ich tun? Vielen Dank schonmal Andreas -- "There is no reason anyone would want a computer in the home" (Kenneth Olsen, Digital Equipment Corporation (DEC), 1977)
Hi Andreas, Am Donnerstag, 15. Januar 2004 13:40 schrieb Andreas Hergesell:
-----------/v/l/m------------------------------------- smbd[24297]: ERROR: string overflow by 949 in safe_strcpy [\220 \220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220 \220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220 \220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220 \220] ------------------------------------------------------ Diese Meldung taucht innerhalb einer Sekunde etwa 50 mal auf.
Bei mir das Gleiche, allerdings schon seit geraumer Weile (OK, dh seit drei Wochen; das etwas ältere Samba, frag mich aber niemand nach der Version). Ich steh' da leider auch ratlos davor und habe nichts dazu im Netz gefunden. Allerdings hätte ich diese Fehlermeldungen gerne abgestellt. Helga -- ## Netikette nein danke? -- http://www.suse-etikette.de.vu/ ## Mit vielen nützlichen Tipps -- Lesen lohnt sich ## Rückmeldungen erbeten und erwünscht
Hi Helga. Am Donnerstag, 15. Januar 2004 15:08 schrieb Helga Fischer:
Hi Andreas,
Am Donnerstag, 15. Januar 2004 13:40 schrieb Andreas Hergesell:
-----------/v/l/m------------------------------------- smbd[24297]: ERROR: string overflow by 949 in safe_strcpy [\220 \220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22
Bei mir das Gleiche, allerdings schon seit geraumer Weile (OK, dh seit drei Wochen; das etwas ältere Samba, frag mich aber niemand nach der Version). Ich steh' da leider auch ratlos davor und habe nichts dazu im Netz gefunden.
Mist, da hat man schon ein lokales Archiv der Liste und findet die Einträge von vor drei Wochen nicht :-/ Ich bin halt sehr vorsichtig, weil ich mein Samba quasi ins INet öffne... Im Moment logge ich auch die akzeptierten Verbindungen und habe dadurch herausgefunden von welchen Rechner aus diese Aktion kam. Und der liegt hier im Uni-Netz. Mal sehen ob ich denjenigen erreiche.
Allerdings hätte ich diese Fehlermeldungen gerne abgestellt.
Tja...
Helga
Viele Grüße Andreas -- "Contrary to popular belief, Unix is user friendly. It just happens to be selective about who it makes friends with."
Hallo Andreas, hallo Leute, Am Donnerstag, 15. Januar 2004 16:36 schrieb Andreas Hergesell:
Am Donnerstag, 15. Januar 2004 15:08 schrieb Helga Fischer:
Am Donnerstag, 15. Januar 2004 13:40 schrieb Andreas Hergesell:
-----------/v/l/m------------------------------------- smbd[24297]: ERROR: string overflow by 949 in safe_strcpy [\220 \220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22
Bei mir das Gleiche, allerdings schon seit geraumer Weile (OK, dh seit drei Wochen; das etwas ältere Samba, frag mich aber niemand nach der Version). Ich steh' da leider auch ratlos davor und habe nichts dazu im Netz gefunden.
Schuss ins Blaue: Hat sich nicht einer der letzten Würmer u. a. über Port 13[5-7] verbreitet? Würde mich nicht wundern, wenn der einen Buffer Overflow ausgenutzt hat. Der Unterschied ist nur, dass das bei Windows scheinbar funktioniert und Samba nur eine Meldung ins Logfile schreibt. _Vermutlich_ passiert Samba nix - eine Logmeldung dieser Art verstehe ich als "wurde abgefangen". Und der Funktionsname "safe_strcpy" hört sich auch gut an ;-)
Ich bin halt sehr vorsichtig, weil ich mein Samba quasi ins INet öffne...
Wieso das denn?
Im Moment logge ich auch die akzeptierten Verbindungen und habe dadurch herausgefunden von welchen Rechner aus diese Aktion kam. Und der liegt hier im Uni-Netz. Mal sehen ob ich denjenigen erreiche.
Guck gleich mal nach, ob er gewurmt aussieht ;-) Gruß Christian Boltz, den die Firewall-Meldungen über Zugriffe auf Port 135 ganz schön nerven. --
Wer kennt eine gute Beschreibung, am besten in deutsch die die Installion und Einrichtung von mysql und php beschreibt? Bitte mehr als nur die Anwort: "Ich" ok, kein problem. google. [>Marcel Stein u. Michael Meyer in suse-linux]
Hallo Christian, Am Donnerstag, 15. Januar 2004 22:00 schrieb Christian Boltz:
Hallo Andreas, hallo Leute,
Am Donnerstag, 15. Januar 2004 16:36 schrieb Andreas Hergesell:
Am Donnerstag, 15. Januar 2004 15:08 schrieb Helga Fischer:
Am Donnerstag, 15. Januar 2004 13:40 schrieb Andreas Hergesell:
-----------/v/l/m------------------------------------- smbd[24297]: ERROR: string overflow by 949 in safe_strcpy [\220 \220\220\220\220\220\220\220\220\220\220\220\220\220\220\22 0\22
Bei mir das Gleiche, allerdings schon seit geraumer Weile (OK, dh seit drei Wochen; das etwas ältere Samba, frag mich aber niemand nach der Version). Ich steh' da leider auch ratlos davor und habe nichts dazu im Netz gefunden.
Schuss ins Blaue: Hat sich nicht einer der letzten Würmer u. a. über Port 13[5-7] verbreitet? Würde mich nicht wundern, wenn der einen Buffer Overflow ausgenutzt hat. Der Unterschied ist nur, dass das bei Windows scheinbar funktioniert und Samba nur eine Meldung ins Logfile schreibt.
Ja, aber der sah im Sambalog _glaube_ ich anders aus. Außerdem kann es kein so populärer Wurm gewesen sein, sonst hätte man doch über Google was gefunden, oder?
_Vermutlich_ passiert Samba nix - eine Logmeldung dieser Art verstehe ich als "wurde abgefangen". Und der Funktionsname "safe_strcpy" hört sich auch gut an ;-)
Das beruhigt mich :-)
Ich bin halt sehr vorsichtig, weil ich mein Samba quasi ins INet öffne...
Wieso das denn?
Wieso ich vorsichtig bin, oder warum ich dem ins Inet öffne? :-) Ins Internet muss ich öffnen, weil die Windows Clients im Netz darauf zugreifen müssen. Schon alleine aus baulichen Gründen kann ich keine Firewall davorsetzen. Die Rechner stehen auf fast 6 verschiedenen Etagen :-). Das Rechenzentrum hat zwar eine Firewall davor, aber die filtert nur <1024. Und das ganze Uni-Netz liegt ja dahinter. Der Angriff erfolgte ja auch von einem Rechner innerhalb der Uni. Vorsichtig bin, ich weil auf 95% aller Samba Howto's im Netz steht, dass das Öffnen der Samba Ports ins INet extrem gefährlich ist.
Im Moment logge ich auch die akzeptierten Verbindungen und habe dadurch herausgefunden von welchen Rechner aus diese Aktion kam. Und der liegt hier im Uni-Netz. Mal sehen ob ich denjenigen erreiche.
Guck gleich mal nach, ob er gewurmt aussieht ;-)
Mach ich vielleicht auch, wenn er noch erreichbar ist. Das RZ wollte das nämlich ändern... _Mich_ wurmt das auf jeden Fall schonmal.
Gruß
Christian Boltz, den die Firewall-Meldungen über Zugriffe auf Port 135 ganz schön nerven.
Ja, im Firewalllog stören sie nur, aber im Sambalog ärgern sie mich richtig(jedenfalls solche) Vielen Dank Andreas
--
Wer kennt eine gute Beschreibung, am besten in deutsch die die Installion und Einrichtung von mysql und php beschreibt? Bitte mehr als nur die Anwort: "Ich"
ok, kein problem. google. [>Marcel Stein u. Michael Meyer in suse-linux]
Och nööö. Jetzt filtere ich Marcel erfolgreich und krieg ihn so doch noch mit :-) -- "Contrary to popular belief, Unix is user friendly. It just happens to be selective about who it makes friends with."
Hallo Andreas, hallo Leute, Am Donnerstag, 15. Januar 2004 22:35 schrieb Andreas Hergesell:
Am Donnerstag, 15. Januar 2004 22:00 schrieb Christian Boltz:
Am Donnerstag, 15. Januar 2004 16:36 schrieb Andreas Hergesell:
Am Donnerstag, 15. Januar 2004 15:08 schrieb Helga Fischer:
Am Donnerstag, 15. Januar 2004 13:40 schrieb Andreas Hergesell:
-----------/v/l/m------------------------------------- smbd[24297]: ERROR: string overflow by 949 in safe_strcpy [\220 \220\220\220\220\220\220\220\220\220\220\220\220\220\220\22 0\22
Schuss ins Blaue: Hat sich nicht einer der letzten Würmer u. a. über Port 13[5-7] verbreitet? Würde mich nicht wundern, wenn der einen Buffer Overflow ausgenutzt hat. Der Unterschied ist nur, dass das bei Windows scheinbar funktioniert und Samba nur eine Meldung ins Logfile schreibt.
Ja, aber der sah im Sambalog _glaube_ ich anders aus. Außerdem kann es kein so populärer Wurm gewesen sein, sonst hätte man doch über Google was gefunden, oder?
Da fragst Du mich zuviel. Im Zweifelsfall solltest Du Dich vielleicht mal auf suse-security oder einer Samba-ML melden.
Ich bin halt sehr vorsichtig, weil ich mein Samba quasi ins INet öffne...
Wieso das denn?
Wieso ich vorsichtig bin, oder warum ich dem ins Inet öffne? :-)
Letzteres ;-)
Ins Internet muss ich öffnen, weil die Windows Clients im Netz darauf zugreifen müssen. Schon alleine aus baulichen Gründen kann ich keine Firewall davorsetzen. Die Rechner stehen auf fast 6 verschiedenen Etagen :-). Das Rechenzentrum hat zwar eine Firewall davor, aber die filtert nur <1024. Und das ganze Uni-Netz liegt ja dahinter. Der Angriff erfolgte ja auch von einem Rechner innerhalb der Uni.
Trotzdem könntest Du eine Firewall einrichten, die nur Samba-Anfragen von bestimmten IPs oder IP-Bereichen durchlässt. Auch hosts allow in der smb.conf kann nicht schaden, ist aber nicht so verlässlich wie eine Firewall.
Vorsichtig bin, ich weil auf 95% aller Samba Howto's im Netz steht, dass das Öffnen der Samba Ports ins INet extrem gefährlich ist.
Wobei Samba noch das kleinere Übel ist im Vergleich zu einem "echten" Windows ;-)
--
Wer kennt eine gute Beschreibung, am besten in deutsch die die Installion und Einrichtung von mysql und php beschreibt? Bitte mehr als nur die Anwort: "Ich" ok, kein problem. google. [>Marcel Stein u. Michael Meyer in suse-linux]
Och nööö. Jetzt filtere ich Marcel erfolgreich und krieg ihn so doch noch mit :-)
*LoL* Gruß Christian Boltz -- Übrigens: Wenn man feststellen will, wie leer man ist: Einfach ein paar Flaschen Whiskey oder so nehmen und so lange in dem Mund schütten, bis man "voll" ist. Das Ergebnis kann man dann bei mir melden. :-)) [Konrad Neitzel in suse-linux]
Hi Christian, Am Freitag, 16. Januar 2004 23:16 schrieb Christian Boltz:
Hallo Andreas, hallo Leute,
Am Donnerstag, 15. Januar 2004 22:35 schrieb Andreas Hergesell: [...]
Wieso ich vorsichtig bin, oder warum ich dem ins Inet öffne? :-)
Letzteres ;-)
Ins Internet muss ich öffnen, weil die Windows Clients im Netz darauf zugreifen müssen. Schon alleine aus baulichen Gründen kann ich keine Firewall davorsetzen. Die Rechner stehen auf fast 6 verschiedenen Etagen :-). Das Rechenzentrum hat zwar eine Firewall davor, aber die filtert nur <1024. Und das ganze Uni-Netz liegt ja dahinter. Der Angriff erfolgte ja auch von einem Rechner innerhalb der Uni.
Trotzdem könntest Du eine Firewall einrichten, die nur Samba-Anfragen von bestimmten IPs oder IP-Bereichen durchlässt. Auch hosts allow in der smb.conf kann nicht schaden, ist aber nicht so verlässlich wie eine Firewall.
host allow ist gesetzt, eine Firewallregel zur Begrenzung nicht. Es läuft die SuSEfirewall2. Für weitere Begrenzungen reichen meine iptables Kenntnisse leider nicht. Durch das RZ ist dies aber sowieso schon auf unser Uni-Netz begrenzt.
Vorsichtig bin, ich weil auf 95% aller Samba Howto's im Netz steht, dass das Öffnen der Samba Ports ins INet extrem gefährlich ist.
Wobei Samba noch das kleinere Übel ist im Vergleich zu einem "echten" Windows ;-)
*g* Klar, das wäre die Altenative gewesen (nicht wirklich:-) Im übrigen Häufen sich mittlerweile diese Aktionen, mal sehen was draus wird...
Gruß
Christian Boltz
Viele Grüße Andreas -- Prozessor sagt zum Speicher: "Bitte ein Bit!" Der Anwender zum Computer: "Ich trink eins mit!" (Unbekannt)
Hallo, Am Thu, 15 Jan 2004, Christian Boltz schrieb:
Christian Boltz, den die Firewall-Meldungen über Zugriffe auf Port 135 ganz schön nerven.
function block_netbios() { $IPT -A OUTPUT -o $dev -p tcp --dport 137:139 -j REJECT $IPT -A OUTPUT -o $dev -p tcp --sport 137:139 -j REJECT $IPT -A INPUT -i $dev -p tcp --dport 137:139 -j REJECT $IPT -A INPUT -i $dev -p tcp --sport 137:139 -j REJECT $IPT -A OUTPUT -o $dev -p udp --dport 137:139 -j REJECT $IPT -A OUTPUT -o $dev -p udp --sport 137:139 -j REJECT $IPT -A INPUT -i $dev -p udp --dport 137:139 -j REJECT ###[*] $IPT -A INPUT -i $dev -p udp --sport 137:139 -j REJECT ### block M$ RPC $IPT -A INPUT -i $dev -p tcp --dport 135 -j REJECT $IPT -A INPUT -i $dev -p udp --dport 135 -j REJECT $IPT -A INPUT -i $dev -p tcp --dport 445 -j REJECT $IPT -A INPUT -i $dev -p udp --dport 445 -j REJECT } *BUMM* Dicht!!!! Falls man mehrere externe devices hat, muss man das evtl. anpassen: ==== function block_netbios() { dev="$1" [..] } [..] for i in $EXT_IFS; do block_netbios "$i" done ==== Wichtig scheint die Regel, die ich mit [*] markiert habe, zumindest laeuft da bei mir der Traffic von aussen auf. Obige Funktion im fw-script, und aufgerufen macht den ganzen Muell dicht. Ok, nach innen koenne man bei TCP '-j REJECT --reject-with tcp-reset' verwenden. Nach aussen hin hat das aber eh keine Wirkung... *grr* Mit Windows-Kisten im LAN muss man das natuerlich anpassen... Aber auf dem Router/Gateway/FW der zum Inet Kontakt hat sollte man IMO rigoros _alles_ in alle Richtungen auf diesen Ports blocken. -dnh, haette ich keine Flatrate wuerde ich deswegen und wg. den Windumm-Viren Tischkanten im Dutzend verbrauchen. -- 153: höflich Abwesenheit von absichtlichen Beleidigungen. (Lars Marowsky-Brée)
participants (4)
-
Andreas Hergesell -
Christian Boltz -
David Haller -
Helga Fischer