Hallo zusammen, in der /var/log/messages macht sich seit gestern eine smbd- Meldung breit, deren Sinn ich nicht so ganz verstehe. "Apr 24 10:13:08 boss smbd[2998]: localhost (151.26.161.74) couldn't find service c Apr 24 10:14:22 boss smbd[3000]: [2003/04/24 10:14:22, 0] smbd/service.c:make_connection(252) Apr 24 10:14:22 boss smbd[3000]: alevrius_ (62.147.160.99) couldn't find service c Apr 24 10:17:48 boss smbd[3035]: [2003/04/24 10:17:48, 0] smbd/service.c:make_connection(252) Apr 24 10:17:48 boss smbd[3035]: 50163099sp (218.84.208.120) couldn't find service c Apr 24 10:17:56 boss smbd[3036]: [2003/04/24 10:17:56, 0] smbd/service.c:make_connection(252) Apr 24 10:17:56 boss smbd[3036]: 50163099sp (151.196.124.92) couldn't find service c Apr 24 10:17:59 boss smbd[3037]: [2003/04/24 10:17:59, 0] smbd/service.c:make_connection(252) Apr 24 10:17:59 boss smbd[3037]: localhost (212.177.78.244) couldn't find service c" Wahllos herausgegriffen! Was steckt hinter dem "couldn't find service c" ?? Viele Grüße Heiner -- ******************************* H e i n e r G e w i e h s Marketing - Fachkaufmann D- 63868 Großwallstadt Mail: heiner.gewiehs@gewiehs.de *******************************
Heiner Gewiehs wrote:
Was steckt hinter dem "couldn't find service c" ??
Du willst mal eine Paket-Filter Regel einfuegen, die smb-Pakete aus dem Internet wegfiltert. Meine Vermutung: Jemand hat versucht von aussen auf die NT-Systemfreigabe \\RECHNER\C$ zuzugreifen. Peter
Hallo, * On Thu, Apr 24, 2003 at 10:48 AM (+0200), Peter Wiersig wrote:
Was steckt hinter dem "couldn't find service c" ??
Du willst mal eine Paket-Filter Regel einfuegen, die smb-Pakete aus dem Internet wegfiltert.
ACK!
Meine Vermutung: Jemand hat versucht von aussen auf die NT-Systemfreigabe \\RECHNER\C$ zuzugreifen.
Eher auf "C" und nicht auf "C$" - sonst hätte Samba "C$" in's Logfile geschrieben... ;-) Vermutlich gibt es Win9x-User, die direkt das Laufwerk C: unter dem Share-Namen "C" (vermutl. ohne Passwort) freigegeben haben (das "C$" als versteckte Freigabe ist ja standardmäßig Sache von WinNT) und genau das scheint der Wurm bzw. der Angreifer ausnutzen. Gruß Steffen
Am Donnerstag, 24. April 2003 12:29 schrieb Steffen Moser:
Hallo,
* On Thu, Apr 24, 2003 at 10:48 AM (+0200), Peter Wiersig wrote:
Was steckt hinter dem "couldn't find service c" ??
Du willst mal eine Paket-Filter Regel einfuegen, die smb-Pakete aus dem Internet wegfiltert.
ACK!
Meine Vermutung: Jemand hat versucht von aussen auf die NT-Systemfreigabe \\RECHNER\C$ zuzugreifen.
Eher auf "C" und nicht auf "C$" - sonst hätte Samba "C$" in's Logfile geschrieben... ;-)
Vermutlich gibt es Win9x-User, die direkt das Laufwerk C: unter dem Share-Namen "C" (vermutl. ohne Passwort) freigegeben haben (das "C$" als versteckte Freigabe ist ja standardmäßig Sache von WinNT) und genau das scheint der Wurm bzw. der Angreifer ausnutzen.
Hallo, das ist hochinteressant. Ich bin in der Tat dabei, mein Server- System neu aufzubauen und schließe daher die Möglichkeit nicht aus, dass irgendwo ein "Türchen" noch auf ist. (prüf ich anschließend) Im eigenen Netz habe ich zwei Windows- Rechner, die allerdings beide nicht liefen als die Fehlermeldungen in der /var/log/messages auftauchten. In diesem Zusammenhang habe ich "Antivir" laufen lassen, mit folgendem Resultat: checking drive/path (list): / /dosc/Programme/Kazaa Lite/Speed Up.exe Date: 2.01.2003 Time: 01:23:42 Size: 42816 warning: invalid program start address /dosc/Programme/Kazaa Lite/dksigtool.exe Date: 9.01.2003 Time: 17:39:18 Size: 9552 warning: invalid program start address ----- scan results ----- directories: 18588 files: 44712 alerts: 0 warnings: 2 scan time: 00:04:45 ------------------------ Thank you for using AntiVir. boss:/home/heiner # "dosc" ist der Mount- Punkt für "c", hier auf dem Server. Könnte dies der Übeltäter des Ganzen sein oder ist es noch fürchterlicher? Was sollte ich noch tun, ich meine außer die Ports abzudichten? Viele Grüße Heiner -- ******************************* H e i n e r G e w i e h s Marketing - Fachkaufmann D- 63868 Großwallstadt Mail: heiner.gewiehs@gewiehs.de *******************************
Hallo, * On Thu, Apr 24, 2003 at 10:37 AM (+0200), Heiner Gewiehs wrote:
Wahllos herausgegriffen! Was steckt hinter dem "couldn't find service c" ??
Vermutlich sucht irgend jemand (ein User oder ein Wurm) nach einer Freigabe mit dem Namen "c" auf Deinem Samba-Server. Genau eine sol- che Freigabe hast Du aber in der "smb.conf" nicht aktiviert, daher die Fehlermeldung. Es scheint, dass Dein Samba-Server von außen erreichbar ist. Und dann ist es sehr wahrscheinlich, dass da ein Wurm eine Freigabe "c" sucht. In Deinem Fall kann das Dir nichts anhaben. Aber ich würde dennoch dafür sorgen, dass nur die Rechner an Deinen Samba-Server rankommen, die auch wirklich rankommen müssen (z.B. interne Clients). Gruß Steffen
participants (3)
-
Heiner Gewiehs -
Peter Wiersig -
Steffen Moser