Am Donnerstag, 24. April 2003 12:29 schrieb Steffen Moser:
Hallo,
* On Thu, Apr 24, 2003 at 10:48 AM (+0200), Peter Wiersig wrote:
Was steckt hinter dem "couldn't find service c" ??
Du willst mal eine Paket-Filter Regel einfuegen, die smb-Pakete aus dem Internet wegfiltert.
ACK!
Meine Vermutung: Jemand hat versucht von aussen auf die NT-Systemfreigabe \\RECHNER\C$ zuzugreifen.
Eher auf "C" und nicht auf "C$" - sonst hätte Samba "C$" in's Logfile geschrieben... ;-)
Vermutlich gibt es Win9x-User, die direkt das Laufwerk C: unter dem Share-Namen "C" (vermutl. ohne Passwort) freigegeben haben (das "C$" als versteckte Freigabe ist ja standardmäßig Sache von WinNT) und genau das scheint der Wurm bzw. der Angreifer ausnutzen.
Hallo, das ist hochinteressant. Ich bin in der Tat dabei, mein Server- System neu aufzubauen und schließe daher die Möglichkeit nicht aus, dass irgendwo ein "Türchen" noch auf ist. (prüf ich anschließend) Im eigenen Netz habe ich zwei Windows- Rechner, die allerdings beide nicht liefen als die Fehlermeldungen in der /var/log/messages auftauchten. In diesem Zusammenhang habe ich "Antivir" laufen lassen, mit folgendem Resultat: checking drive/path (list): / /dosc/Programme/Kazaa Lite/Speed Up.exe Date: 2.01.2003 Time: 01:23:42 Size: 42816 warning: invalid program start address /dosc/Programme/Kazaa Lite/dksigtool.exe Date: 9.01.2003 Time: 17:39:18 Size: 9552 warning: invalid program start address ----- scan results ----- directories: 18588 files: 44712 alerts: 0 warnings: 2 scan time: 00:04:45 ------------------------ Thank you for using AntiVir. boss:/home/heiner # "dosc" ist der Mount- Punkt für "c", hier auf dem Server. Könnte dies der Übeltäter des Ganzen sein oder ist es noch fürchterlicher? Was sollte ich noch tun, ich meine außer die Ports abzudichten? Shields up hat die Ports gescannt und folgende geöffnet vorgefunden: 80 HTTP OPEN! The web is so insecure these days that new security "exploits" are being discovered almost daily. There are many known problems with Microsoft's Personal Web Server (PWS) and its Frontpage Extensions that many people run on their personal machines. So having port 80 "open" as it is here causes intruders to wonder how much information you might be willing to give away. 139 NetBIOS OPEN! As you probably know by now, the NetBIOS File Sharing port is the single largest security hole for networked Windows machines. The payoff from finding open Windows shares is so big that many scanners have been written just to find open ports like this one. Closing it should be a priority for you! die anderen galten als "closed" "stealth" wäre sicher besser. Wie dichte ich die am besten ab? Viele Grüße Heiner -- ******************************* H e i n e r G e w i e h s Marketing - Fachkaufmann D- 63868 Großwallstadt Mail: heiner.gewiehs@gewiehs.de *******************************