samba paranoia !!!!

DonVla · Beitrag von **DonVla** » 01.03.2006 12:45:20

hallo,

durch zufall schaue ich heute ins /var/log/samba-verzeichnis und sehe um die 50 dateien der form :

name@rechner:/var/log/samba $ ls -l
-rw-r--r-- 1 root root 672 2006-01-29 23:28 log.
-rw-r--r-- 1 root root 0 2006-01-29 23:36 log.201.137.57.181
-rw-r--r-- 1 root root 0 2006-01-29 22:10 log.208.191.164.200
-rw-r--r-- 1 root root 0 2006-01-29 22:41 log.68.183.2.12
-rw-r--r-- 1 root root 250 2006-01-29 22:23 log.71.110.103.161
-rw-r--r-- 1 root root 0 2006-01-29 23:21 log.80.104.179.244
-rw-r--r-- 1 root root 112 2006-01-29 22:18 log.84.63.10.22
-rw-r--r-- 1 root root 0 2006-01-29 22:24 log.87.90.159.3
-rw-r--r-- 1 root root 0 2006-01-29 22:15 log.jcthc
-rw-r--r-- 1 root root 0 2006-01-29 22:26 log.kati
-rw-r--r-- 1 root root 244 2006-01-29 23:21 log.momerdadd
-rw-r--r-- 1 root root 122 2006-01-29 22:41 log.newtonto_
-rw-r--r-- 1 root root 0 2006-01-29 23:14 log.rico-t1uep9fyte
-rw-r--r-- 1 root root 0 2006-01-29 22:26 log.schlaubi3
-rw-r--r-- 1 root root 244 2006-01-29 23:36 log.shitbanda
-rw-r--r-- 1 root root 112 2006-01-29 22:27 log.84.63.105.138
-rw-r--r-- 1 root root 224 2006-01-29 22:37 log.84.63.108.242
-rw-r--r-- 1 root root 112 2006-01-29 22:19 log.84.63.12.11
-rw-r--r-- 1 root root 191 2006-02-12 00:07 log.84.63.12.95
.
.
.

also der form "log.xxx.xxx.xxx.xxx" mit ip-adressen, die ich nicht kenne (wer zum geier ist shitbanda?????????).
der inhalt dieser log-dateien ist (fast immer der gleiche):

name@rechner:/var/log/samba $ cat log.shitbanda
[2006/01/29 22:24:00, 1] smbd/service.c:make_connection(729)
make_connection: refusing to connect with no session setup
[2006/01/29 23:36:06, 1] smbd/service.c:make_connection(729)
make_connection: refusing to connect with no session setup

oder

name@rechner:/var/log/samba $ cat log.84.63.5.181
[2006/01/29 22:15:06, 1] smbd/sesssetup.c:reply_sesssetup_and_X_spnego(593)
Unknown packet in reply_sesssetup_and_X_spnego
[2006/01/29 22:15:06, 1] smbd/sesssetup.c:reply_sesssetup_and_X_spnego(593)
Unknown packet in reply_sesssetup_and_X_spnego
[2006/01/29 22:15:07, 1] smbd/service.c:make_connection(729)
make_connection: refusing to connect with no session setup
[2006/01/29 22:15:12, 1] smbd/service.c:make_connection(729)
make_connection: refusing to connect with no session setup
[2006/01/29 22:15:16, 1] smbd/service.c:make_connection(729)
make_connection: refusing to connect with no session setup
[2006/01/29 22:15:21, 0] lib/util_sock.c:read_socket_data(384)
read_socket_data: recv failure for 4. Error = Connection reset by peer

meine frage ist nun: hat sich jemand versucht bei mir über samba einzuschmuggeln, bzw
wieso hat die firewall die samba-ports nicht blockiert?????
sowohl INPUT als auch OUTPUT der samba-ports (137-139 und auch 445) von/nach ppp+ sind auf DROP...
kann mir jemand was dazu sagen?

vlad

nepos · Beitrag von **nepos** » 01.03.2006 13:46:49

Sicher, dass deine Firewall die Pakete blockt?

DonVla · Beitrag von **DonVla** » 01.03.2006 13:55:26

tja, offensichtlich nicht...

$TABLES -A allowed --protocol tcp --tcp-flags ! SYN,RST,ACK SYN --match state --state NEW --in-interface ppp+ -j log_n_drop
$TABLES -A allowed --match state --state ESTABLISHED -j ACCEPT
$TABLES -A allowed --match state --state RELATED -j ACCEPT
$TABLES -A allowed -j DROP

und später

$TABLES -A INPUT -j allowed

(standard-eintrag halt)
das sollte eigentlich doch reichen, oder?

slu · Beitrag von **slu** » 01.03.2006 13:58:59

Bzgl. nicht geblockten Paketen, ich habe ein ähnliches Problem.

http://www.debianforum.de/forum/viewtopic.php?t=63098

DonVla · Beitrag von **DonVla** » 01.03.2006 14:07:21

@slu

ich würde noch folgendes in das script einfügen:

$TABLES -A INPUT --in-interface ppp+ --src 10.0.0.0/8 -j DROP
$TABLES -A INPUT --in-interface ppp+ --src 172.16.0.0/12 -j DROP
$TABLES -A INPUT --in-interface ppp+ --src 192.168.0.0/16 -j DROP

damit sich niemand von ausserhalb als localhost oder private net ausgeben kann.
und ich würde anstatt eth1 ppp+ schreiben. iptables weiss dann automatisch was du meinst.

vlad

nepos · Beitrag von **nepos** » 01.03.2006 16:25:59

Und wie immer generell: wenn du an iptables-Sachen schraubst bzw. die Regeln nicht ganz so das machen, wie du dir das vorstellst, dann ist immer eine LOG-Regel vor dem DROP sinnvoll. Dann siehst du mehr.
Wenn also z.B. diese SMB-Pakete da nicht geloggt werden, weisst du, dass die irgendwo vorher matchen und damit durchkoennen.

DonVla · Beitrag von **DonVla** » 01.03.2006 19:01:21

$TABLES -A log_n_drop --match limit --limit $LOGLIMIT --limit-burst $LOGLIMITBURST -j LOG --log-prefix "FIREWALL: inNEW: "
$TABLES -A log_n_drop -j DROP

eine log n' drop regel habe ich, blöderweise habe ich die logs von ende januar/ anfang februar nicht mehr... höchstwahrscheinlich war da die firewall für ein paar stunden runter. anders kann ich mir das nicht erklären.
übrigens die sygate-scans haben auch keine offenen ports angezeigt (alle blocked).

vlad

autlaw · Beitrag von **autlaw** » 01.03.2006 19:57:58

ich hab auch elendes viele samba logs von mir unbekannten hostenames und IP's,

der Rechner auf dem der besagte samba läuft hängt aber hinter einem hardware router und es werden nur die http und ssh ports auf den pc forwardet, ich kann mir echt nicht erklären woher die ganzen logs kommen - ein großteil der logfiles ist sogar ganz leer, ohne irgendwelche meldungen drin :/

NetCompanion · Beitrag von **NetCompanion** » 08.03.2006 09:39:29

das geht mir genauso . . ich hab das einfach mal als angriffsversuch gewertet; aber noch keine Lösung gefunden das Problem zu lösen (der Server soll bestimmte Daten auch fürs Internet freigeben)
Eine Gefahr sehe ich jedoch eher weniger --Über Bruteforce sich einzuhacken, ohne Usernamen zu kennen dauert Jahrzehnte, denke ich

Gruß NetCompanion