[LUGA] Mit freundlicher Unterstützung von:
Linux New Media AG

Mail Thread Index


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [luga] RHEL3, Samba



On 2007-01-12 18:22:31 +0100, Robert Waldner wrote:
> On Fri, 12 Jan 2007 17:43:51 +0100, =?ISO-8859-1?Q?Bernd_Krumb=F6ck?= writes:
> >
> Ich hab im fraglichen Zeitraum nur Pakete aus dem mit Source-IP aus dem 
>  LAN gesehen.
> 
> >Welche Ports und Protokolle hast Du mit tcpdump kontrolliert?
> 
> Alles.
> 
> >Vorschläge:
> >*) Andere Tools zur gezielten Überwachung bzw. Aufzeichnung des  
> >Netzwerkverkehrs verwenden. (ethreal, ...)
> 
> Ich hab's eh mit Ethereal gemacht, wg. der Moeglichkeit, Ring-style die 
>  Daten aufzuheben (fuer mehrere Tage vollen Dump fehlt der Platz).
> 
[...]
> 
> >*) Auszug des Logfiles (manchmal sind die 10 Zeilen vorher bzw. nach  
> >der Meldung ebenfalls interressant --> zumindest wenn man anhand der  
> >Logzeilen den Source Code zu Rat ziehen will)
> 
> 3h vorher und 1h nachher war nix im Log.
> 
> Jan  8 07:12:12 server smbd[6539]: [2007/01/08 07:12:12, 0] lib/util_sock.c:
> get_peer_addr(1000) 
> Jan  8 07:12:12 server smbd[6539]:   getpeername failed. Error was Transport
>  endpoint is not connected 
> Jan  8 07:12:12 server smbd[6539]: [2007/01/08 07:12:12, 0] lib/util_sock.c:
> get_peer_addr(1000) 
> Jan  8 07:12:12 server smbd[6539]:   getpeername failed. Error was Transport
>  endpoint is not connected 
> Jan  8 07:12:12 server smbd[6539]: [2007/01/08 07:12:12, 0] lib/access.c:che
> ck_access(328) 
> Jan  8 07:12:12 server smbd[6539]: [2007/01/08 07:12:12, 0] lib/util_sock.c:
> get_peer_addr(1000) 
> Jan  8 07:12:12 server smbd[6539]:   getpeername failed. Error was Transport
>  endpoint is not connected 
> Jan  8 07:12:12 server smbd[6539]:   Denied connection from  (0.0.0.0) 
> 
> Es gibt uebrigens keinen User mit UID 1000, k.A. was mir der smbd mit
>  "lib/util_sock.c:get_peer_addr(1000)" sagen will.

Wieso User? getpeername liefert IP-Adresse und Port-Nummer des Peers
(also des anderen Endes) einer TCP-Connection. 1000 ist also vermutlich
(ohne jetzt in die Samba-Sourcen zu schauen) entweder ein Filedescriptor
oder (wahrscheinlicher) eine samba-interne Bezeichnung für die
Connection. 

"Transport endpoint is not connected" (ENOTCONN) liefert getpeername,
wenn die Gegenseite die Verbindung bereits wieder geschlossen hat.
Typischerweise bekommt man sowas bei Portscannern, die die Verbindung
sofort nach dem Connect wieder schließen, bevor der Server Zeit hat,
mit der Verbindung was anzufangen.

(0.0.0.0) halte ich für einen Folgefehler: getpeername hat kein Ergebnis
geliefert, folglich steht in der struct sockaddr noch der (auf 0
initialisierte) Originalwert.

Wenn Du im tcpdump-Auszug nachschaust, findest Du vermutlich eine sehr
kurze TCP-Verbindung zu diesem Zeitpunkt.

Unklar ist mir aber, warum der Samba da hängt. Eigentlich sollte ihn
sowas ziemlich kalt lassen.

	hp


-- 
   _  | Peter J. Holzer    | Ich sehe nun ein, dass Computer wenig
|_|_) | Sysadmin WSR       | geeignet sind, um sich was zu merken.
| |   | hjp@hjp.at         |
__/   | http://www.hjp.at/ |	-- Holger Lembke in dan-am

Attachment: signature.asc
Description: Digital signature



powered by LINUX the choice of a gnu generation
linux user group austria;
Suche
Suche
Letzte Änderung:
webmaster@luga.at
September 2010