Hallo Christian, Am Donnerstag, 15. Januar 2004 22:00 schrieb Christian Boltz:
Hallo Andreas, hallo Leute,
Am Donnerstag, 15. Januar 2004 16:36 schrieb Andreas Hergesell:
Am Donnerstag, 15. Januar 2004 15:08 schrieb Helga Fischer:
Am Donnerstag, 15. Januar 2004 13:40 schrieb Andreas Hergesell:
-----------/v/l/m------------------------------------- smbd[24297]: ERROR: string overflow by 949 in safe_strcpy [\220 \220\220\220\220\220\220\220\220\220\220\220\220\220\220\22 0\22
Bei mir das Gleiche, allerdings schon seit geraumer Weile (OK, dh seit drei Wochen; das etwas ältere Samba, frag mich aber niemand nach der Version). Ich steh' da leider auch ratlos davor und habe nichts dazu im Netz gefunden.
Schuss ins Blaue: Hat sich nicht einer der letzten Würmer u. a. über Port 13[5-7] verbreitet? Würde mich nicht wundern, wenn der einen Buffer Overflow ausgenutzt hat. Der Unterschied ist nur, dass das bei Windows scheinbar funktioniert und Samba nur eine Meldung ins Logfile schreibt.
Ja, aber der sah im Sambalog _glaube_ ich anders aus. Außerdem kann es kein so populärer Wurm gewesen sein, sonst hätte man doch über Google was gefunden, oder?
_Vermutlich_ passiert Samba nix - eine Logmeldung dieser Art verstehe ich als "wurde abgefangen". Und der Funktionsname "safe_strcpy" hört sich auch gut an ;-)
Das beruhigt mich :-)
Ich bin halt sehr vorsichtig, weil ich mein Samba quasi ins INet öffne...
Wieso das denn?
Wieso ich vorsichtig bin, oder warum ich dem ins Inet öffne? :-) Ins Internet muss ich öffnen, weil die Windows Clients im Netz darauf zugreifen müssen. Schon alleine aus baulichen Gründen kann ich keine Firewall davorsetzen. Die Rechner stehen auf fast 6 verschiedenen Etagen :-). Das Rechenzentrum hat zwar eine Firewall davor, aber die filtert nur <1024. Und das ganze Uni-Netz liegt ja dahinter. Der Angriff erfolgte ja auch von einem Rechner innerhalb der Uni. Vorsichtig bin, ich weil auf 95% aller Samba Howto's im Netz steht, dass das Öffnen der Samba Ports ins INet extrem gefährlich ist.
Im Moment logge ich auch die akzeptierten Verbindungen und habe dadurch herausgefunden von welchen Rechner aus diese Aktion kam. Und der liegt hier im Uni-Netz. Mal sehen ob ich denjenigen erreiche.
Guck gleich mal nach, ob er gewurmt aussieht ;-)
Mach ich vielleicht auch, wenn er noch erreichbar ist. Das RZ wollte das nämlich ändern... _Mich_ wurmt das auf jeden Fall schonmal.
Gruß
Christian Boltz, den die Firewall-Meldungen über Zugriffe auf Port 135 ganz schön nerven.
Ja, im Firewalllog stören sie nur, aber im Sambalog ärgern sie mich richtig(jedenfalls solche) Vielen Dank Andreas
--
Wer kennt eine gute Beschreibung, am besten in deutsch die die Installion und Einrichtung von mysql und php beschreibt? Bitte mehr als nur die Anwort: "Ich"
ok, kein problem. google. [>Marcel Stein u. Michael Meyer in suse-linux]
Och nööö. Jetzt filtere ich Marcel erfolgreich und krieg ihn so doch noch mit :-) -- "Contrary to popular belief, Unix is user friendly. It just happens to be selective about who it makes friends with."