[LUGA] Mit freundlicher Unterstützung von:
OCG

Mail Thread Index


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [luga] RHEL3, Samba




Am 12.01.2007 um 23:14 schrieb Peter J. Holzer:

On 2007-01-12 18:22:31 +0100, Robert Waldner wrote:
On Fri, 12 Jan 2007 17:43:51 +0100, =?ISO-8859-1?Q? Bernd_Krumb=F6ck?= writes:

Ich hab im fraglichen Zeitraum nur Pakete aus dem mit Source-IP aus dem
 LAN gesehen.

Welche Ports und Protokolle hast Du mit tcpdump kontrolliert?

Alles.

Vorschläge:
*) Andere Tools zur gezielten Überwachung bzw. Aufzeichnung des
Netzwerkverkehrs verwenden. (ethreal, ...)

Ich hab's eh mit Ethereal gemacht, wg. der Moeglichkeit, Ring- style die
 Daten aufzuheben (fuer mehrere Tage vollen Dump fehlt der Platz).

[...]

*) Auszug des Logfiles (manchmal sind die 10 Zeilen vorher bzw. nach
der Meldung ebenfalls interressant --> zumindest wenn man anhand der
Logzeilen den Source Code zu Rat ziehen will)

3h vorher und 1h nachher war nix im Log.

Jan 8 07:12:12 server smbd[6539]: [2007/01/08 07:12:12, 0] lib/ util_sock.c:
get_peer_addr(1000)
Jan 8 07:12:12 server smbd[6539]: getpeername failed. Error was Transport
 endpoint is not connected
Jan 8 07:12:12 server smbd[6539]: [2007/01/08 07:12:12, 0] lib/ util_sock.c:
get_peer_addr(1000)
Jan 8 07:12:12 server smbd[6539]: getpeername failed. Error was Transport
 endpoint is not connected
Jan 8 07:12:12 server smbd[6539]: [2007/01/08 07:12:12, 0] lib/ access.c:che
ck_access(328)
Jan 8 07:12:12 server smbd[6539]: [2007/01/08 07:12:12, 0] lib/ util_sock.c:
get_peer_addr(1000)
Jan 8 07:12:12 server smbd[6539]: getpeername failed. Error was Transport
 endpoint is not connected
Jan 8 07:12:12 server smbd[6539]: Denied connection from (0.0.0.0)

Es gibt uebrigens keinen User mit UID 1000, k.A. was mir der smbd mit
 "lib/util_sock.c:get_peer_addr(1000)" sagen will.

Wieso User? getpeername liefert IP-Adresse und Port-Nummer des Peers
(also des anderen Endes) einer TCP-Connection. 1000 ist also vermutlich (ohne jetzt in die Samba-Sourcen zu schauen) entweder ein Filedescriptor
oder (wahrscheinlicher) eine samba-interne Bezeichnung für die
Connection.

"Transport endpoint is not connected" (ENOTCONN) liefert getpeername,
wenn die Gegenseite die Verbindung bereits wieder geschlossen hat.
Typischerweise bekommt man sowas bei Portscannern, die die Verbindung
sofort nach dem Connect wieder schließen, bevor der Server Zeit hat,
mit der Verbindung was anzufangen.

(0.0.0.0) halte ich für einen Folgefehler: getpeername hat kein Ergebnis
geliefert, folglich steht in der struct sockaddr noch der (auf 0
initialisierte) Originalwert.

Wenn Du im tcpdump-Auszug nachschaust, findest Du vermutlich eine sehr
kurze TCP-Verbindung zu diesem Zeitpunkt.

Stimme dem zu. Deckt sich mit meinem Ergebnis im vorigen Mail.
Aber, danke für die genaue Aufschlüsselung.


Unklar ist mir aber, warum der Samba da hängt. Eigentlich sollte ihn
sowas ziemlich kalt lassen.


unsauber programmiert? (hush, und weg)


mfg
Bernd




powered by LINUX the choice of a gnu generation
linux user group austria;
Suche
Suche
Letzte Änderung:
webmaster@luga.at
September 2010