- samba e logs.
+ Responder ao Tópico
-
samba e logs.
Pessoal fui olhar no /var/log/samba e deparei com o seguinte:
Tinha muitos ips.log
até ips de fora...
log.64.*
log.72.*
Muitos mesmo!
Alguém sabe o motivo de gerar logs com esses ips ?
-
samba e logs.
para complementar os logs estão assim...
[2005/06/10 18:56:19, 0] passdb/pdb_tdb.c:tdbsam_tdbopen(195)
Unable to open/create TDB passwd
[2005/06/10 18:56:19, 0] passdb/pdb_tdb.c:tdbsam_getsampwnam(434)
pdb_getsampwnam: Unable to open TDB passwd (/etc/samba/passdb.tdb)!
[2005/06/10 18:56:23, 0] passdb/pdb_tdb.c:tdbsam_tdbopen(195)
Unable to open/create TDB passwd
e muitos logs...
-
samba e logs.
-
samba e logs.
teu servidor ta com as pernas abertas....... qq um consegue ver a porta do samba aberta, e qq tentativa de conexao nela gera um arquivo d log com o ip que tentou acessar
-
samba e logs.
só a porta 22 ta aberta para fora :toim:
-
samba e logs.
eh bom vc checar o firewall direito, se tivesse realmente fechada nao teria como ter esses logs de ips externos
-
samba e logs.
# Libera todo o trafego local
$IPT -t filter -A INPUT -i lo -j ACCEPT
$IPT -t filter -A INPUT -i $IF_INTERNA -j ACCEPT
$IPT -t filter -A FORWARD -i $IF_INTERNA -j ACCEPT
#Libera SSH
$IPT -t filter -A INPUT -i $IF_EXTERNA -p tcp -m multiport --dports 22 -j ACCEPT
# Fecha o resto
$IPT -A INPUT -j BLOCK
$IPT -A FORWARD -j BLOCK
-
samba e logs.
qualquer ip que abre ssh, está gerando log no samba :toim:
-
samba e logs.
/var/log/samba# ls
log.201.144.124.146 log.201.3.12.59 log.201.3.13.167 log.nmbd log.smbd
sei la aparece do nada....
tudo fechado o firewall
-
samba e logs.
tem como eu colocar o parametro para qual interface de rede o samba vai funcionar ?
-
samba e logs.
issu ta errado >>>>
$IPT -t filter -A INPUT -i $IF_EXTERNA -p tcp -m multiport --dports 22 -j ACCEPT
correto>>>>>
$IPT -t filter -A INPUT -i $IF_EXTERNA -p tcp --syn --dport 22 -j ACCEPT
$IPT -t filter -A INPUT -i $IF_EXTERNA -m state --state RELATED,ESTABLISHED -j ACCEPT
-
samba e logs.
é que tinha mais portas ...
14534 também..
mas funciona assim
se eu tiro eu n logo mais por ssh.
ta liberado só isso mesmo eu fiz o teste já
-
samba e logs.
ta mto estranho isso, mto mesmo,
passa um nmap assim de fora da tua rede
nmap -n -vv -sS -P0 IP
-
samba e logs.
ele não consegue scanear... demora muitooooo o ip é 201.3.202.58
-
samba e logs.
é que eu tenho a seguinte politica no firewall tb.
$IPT -N BLOCK
$IPT -A BLOCK -p icmp --icmp-type echo-request -j DROP
$IPT -A BLOCK -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
$IPT -A BLOCK -p tcp -m limit --limit 1/s -j ACCEPT
$IPT -A BLOCK -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 1/s -j $
$IPT -A BLOCK -m unclean -j DROP
$IPT -A BLOCK -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A BLOCK -j DROP
deve barrar o nmap
-
samba e logs.
to scaneando daki, logo passo o resultado
-
samba e logs.
tirei umas regras que estavam fechando o nmap agora ta scanendo aqui por enquanto só a 22 apareceu
-
samba e logs.
Aqui apareceu como aberta 22 e 80 por enqto (ainda ta rodando) mas jah vi qual eh o problema
iptables -A INPUT -j DROP
nao fecha tudo... vc nao consegue conectar mas a porta ainda fica visivel, e recebe pacotes
pra fechar tudo de verdade eh
iptables -P INPUT DROP
remodele teu fw baseado nisso:
https://under-linux.org/noticia4712.html
-
samba e logs.
ahhh!
Depois eu arrumo isso, cara eu já estava ficando com medo...
passei até o chkrootkit a máquina tava com uptime de 90 dias, ontem foi reiniciada...
dai olhei o log e vi isso, no samba.
Deu até frio na barriga
Mas agora eu vi que não é nada..
Muito obrigado 1c3_m4n !!!!
:clap: :clap: :clap:
-
samba e logs.
a porta 80 , não deve ta liberada porque a operadora fecha...
Semana que vem vai ser um link dedicado da brtelecom
valeu :good: