[LUGA] Mit freundlicher Unterstützung von:
init.at

Mail Thread Index


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [luga] RHEL3, Samba



On Fri, 12 Jan 2007 17:43:51 +0100, =?ISO-8859-1?Q?Bernd_Krumb=F6ck?= writes:
>> Environment:
>> Samba-Server: RHEL3, "up2date"

>Hab leider kein RHEL. Bitte daher die genauer Samba Version. Oder ist  
>mit up2date gemeint es wurde die letzte stabile Version selbst  
>kompiliert.

Nein, "up2date" heisst das apt-get - Aequivalent von RHEL, mit dem man 
 sich auf Stand bringen kann. Selberbauen scheidet leider aus, da dann 
 der Support fuer die Kommerz-Saftware weg waer (und die laeuft/rechnet 
 ueblicherweise mehrere Wochen durch).

system-config-samba-1.2.21-1
samba-common-3.0.10-1.4E.9
samba-client-3.0.10-1.4E.9
samba-3.0.10-1.4E.9

>Eventuell irgend ein Virus oder eine Software welche dem Samba Server  
>zum Verhängnis wird?
>(Möglicherweise mit einer gefälschten Source-IP)

Ich hab im fraglichen Zeitraum nur Pakete aus dem mit Source-IP aus dem 
 LAN gesehen.

>Welche Ports und Protokolle hast Du mit tcpdump kontrolliert?

Alles.

>Vorschläge:
>*) Andere Tools zur gezielten Überwachung bzw. Aufzeichnung des  
>Netzwerkverkehrs verwenden. (ethreal, ...)

Ich hab's eh mit Ethereal gemacht, wg. der Moeglichkeit, Ring-style die 
 Daten aufzuheben (fuer mehrere Tage vollen Dump fehlt der Platz).

>Infos welche eventuell hilfreich sein könnten:
>*) Auszug der Samba Config (zumindest alles außer den Shares)

[global]
workgroup = KUNDE
   server string = Fileserver ABTEILUNG
   hosts allow = 192.168.49.0/24 192.168.54.0/24 127.0.0.1 192.168.55.0/24
 192.168.31.0/24 192.168.0.11
   printcap name = /etc/printcap
   load printers = yes
   printing = cups
   log file = /var/log/samba/%m.log
   max log size = 50
   security = user
   local master = no
   domain master = no 
   preferred master = no
   dns proxy = no 
   blocking locks = No

Die Shares schauen alle so aus:
[Beispiel]
   path = /home/Beispiel
   writable = yes
   dos filetimes = true
   directory mode = 770
   create mask = 660

>*) Auszug des Logfiles (manchmal sind die 10 Zeilen vorher bzw. nach  
>der Meldung ebenfalls interressant --> zumindest wenn man anhand der  
>Logzeilen den Source Code zu Rat ziehen will)

3h vorher und 1h nachher war nix im Log.

Jan  8 07:12:12 server smbd[6539]: [2007/01/08 07:12:12, 0] lib/util_sock.c:
get_peer_addr(1000) 
Jan  8 07:12:12 server smbd[6539]:   getpeername failed. Error was Transport
 endpoint is not connected 
Jan  8 07:12:12 server smbd[6539]: [2007/01/08 07:12:12, 0] lib/util_sock.c:
get_peer_addr(1000) 
Jan  8 07:12:12 server smbd[6539]:   getpeername failed. Error was Transport
 endpoint is not connected 
Jan  8 07:12:12 server smbd[6539]: [2007/01/08 07:12:12, 0] lib/access.c:che
ck_access(328) 
Jan  8 07:12:12 server smbd[6539]: [2007/01/08 07:12:12, 0] lib/util_sock.c:
get_peer_addr(1000) 
Jan  8 07:12:12 server smbd[6539]:   getpeername failed. Error was Transport
 endpoint is not connected 
Jan  8 07:12:12 server smbd[6539]:   Denied connection from  (0.0.0.0) 

Es gibt uebrigens keinen User mit UID 1000, k.A. was mir der smbd mit
 "lib/util_sock.c:get_peer_addr(1000)" sagen will. Und auch die Uhrzeit 
 sagt nix, das war auch schon mal um 03.00h in der Frueh (wo dort garantiert 
 keiner seinen Rechner ein- oder ausschaltet).

cheers,
&rw
-- 
-- (Der) "OGH gab STANDARD-Autor Günter Traxler Recht, dass die 'Krone'
-- eine 'redaktionelle Mobilisierungsplattform unter stalinistischer
-- oder goebbelscher innerredaktioneller Gleichschaltung' sei"
--                           - http://derstandard.at/text/?id=1355780&;


Attachment: pgpfWRAT6nRnE.pgp
Description: PGP signature



powered by LINUX the choice of a gnu generation
linux user group austria;
Suche
Suche
Letzte Änderung:
webmaster@luga.at
September 2010