Pessoal fui olhar no /var/log/samba e deparei com o seguinte:
Tinha muitos ips.log
até ips de fora...
log.64.*
log.72.*
Muitos mesmo!
Alguém sabe o motivo de gerar logs com esses ips ?
Versão Imprimível
Pessoal fui olhar no /var/log/samba e deparei com o seguinte:
Tinha muitos ips.log
até ips de fora...
log.64.*
log.72.*
Muitos mesmo!
Alguém sabe o motivo de gerar logs com esses ips ?
para complementar os logs estão assim...
[2005/06/10 18:56:19, 0] passdb/pdb_tdb.c:tdbsam_tdbopen(195)
Unable to open/create TDB passwd
[2005/06/10 18:56:19, 0] passdb/pdb_tdb.c:tdbsam_getsampwnam(434)
pdb_getsampwnam: Unable to open TDB passwd (/etc/samba/passdb.tdb)!
[2005/06/10 18:56:23, 0] passdb/pdb_tdb.c:tdbsam_tdbopen(195)
Unable to open/create TDB passwd
e muitos logs...
alguém sabe ?
teu servidor ta com as pernas abertas....... qq um consegue ver a porta do samba aberta, e qq tentativa de conexao nela gera um arquivo d log com o ip que tentou acessar
só a porta 22 ta aberta para fora :toim:
eh bom vc checar o firewall direito, se tivesse realmente fechada nao teria como ter esses logs de ips externos
# Libera todo o trafego local
$IPT -t filter -A INPUT -i lo -j ACCEPT
$IPT -t filter -A INPUT -i $IF_INTERNA -j ACCEPT
$IPT -t filter -A FORWARD -i $IF_INTERNA -j ACCEPT
#Libera SSH
$IPT -t filter -A INPUT -i $IF_EXTERNA -p tcp -m multiport --dports 22 -j ACCEPT
# Fecha o resto
$IPT -A INPUT -j BLOCK
$IPT -A FORWARD -j BLOCK
qualquer ip que abre ssh, está gerando log no samba :toim:
/var/log/samba# ls
log.201.144.124.146 log.201.3.12.59 log.201.3.13.167 log.nmbd log.smbd
sei la aparece do nada....
tudo fechado o firewall
tem como eu colocar o parametro para qual interface de rede o samba vai funcionar ?
issu ta errado >>>>
$IPT -t filter -A INPUT -i $IF_EXTERNA -p tcp -m multiport --dports 22 -j ACCEPT
correto>>>>>
$IPT -t filter -A INPUT -i $IF_EXTERNA -p tcp --syn --dport 22 -j ACCEPT
$IPT -t filter -A INPUT -i $IF_EXTERNA -m state --state RELATED,ESTABLISHED -j ACCEPT
é que tinha mais portas ...
14534 também..
mas funciona assim
se eu tiro eu n logo mais por ssh.
ta liberado só isso mesmo eu fiz o teste já
ta mto estranho isso, mto mesmo,
passa um nmap assim de fora da tua rede
nmap -n -vv -sS -P0 IP
ele não consegue scanear... demora muitooooo o ip é 201.3.202.58
é que eu tenho a seguinte politica no firewall tb.
$IPT -N BLOCK
$IPT -A BLOCK -p icmp --icmp-type echo-request -j DROP
$IPT -A BLOCK -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
$IPT -A BLOCK -p tcp -m limit --limit 1/s -j ACCEPT
$IPT -A BLOCK -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 1/s -j $
$IPT -A BLOCK -m unclean -j DROP
$IPT -A BLOCK -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A BLOCK -j DROP
deve barrar o nmap
to scaneando daki, logo passo o resultado
tirei umas regras que estavam fechando o nmap agora ta scanendo aqui por enquanto só a 22 apareceu
Aqui apareceu como aberta 22 e 80 por enqto (ainda ta rodando) mas jah vi qual eh o problema
iptables -A INPUT -j DROP
nao fecha tudo... vc nao consegue conectar mas a porta ainda fica visivel, e recebe pacotes
pra fechar tudo de verdade eh
iptables -P INPUT DROP
remodele teu fw baseado nisso:
https://under-linux.org/noticia4712.html
ahhh!
Depois eu arrumo isso, cara eu já estava ficando com medo...
passei até o chkrootkit a máquina tava com uptime de 90 dias, ontem foi reiniciada...
dai olhei o log e vi isso, no samba.
Deu até frio na barriga
Mas agora eu vi que não é nada..
Muito obrigado 1c3_m4n !!!!
:clap: :clap: :clap:
a porta 80 , não deve ta liberada porque a operadora fecha...
Semana que vem vai ser um link dedicado da brtelecom
valeu :good:
Citação:
Postado originalmente por 1c3_m4n
agora que eu vi em cima do firewall já tinha essa regra -P DROP.
:cry:
ice fiz um novo post em https://under-linux.org/modules.php?...wtopic&t=30631
Muito obrigado por tudo ! :good: