Samba - hab ich einen ungebetenen Gast ?

[Pitush]

Hallo Leute,

ich bin relativ neu was Linux Betrifft, und hab da ein Problemm. Schon das Zweite mal hatte meine Console solche komischen Einträge;

Oct 6 00:52:12 linux smbd[9780]: [2002/10/06 00:52:12, 0] smbd/service.c:make_connection(249)
Oct 6 00:52:12 linux smbd[9780]: localhost (216.191.158.211) couldn't find service c
Oct 6 00:55:44 linux nmbd[2737]: [2002/10/06 00:55:44, 0] nmbd/nmbd.c:sig_term(63)
Oct 6 00:49:18 linux smbd[9775]: localhost (211.51.215.239) couldn't find service c
Oct 6 00:52:12 linux smbd[9780]: [2002/10/06 00:52:12, 0] smbd/service.c:make_connection(249)

(Davon eine Liste von mehreren Hundert - jeder Eintrag andere IP.)
Da ich mit der ganzen Sache noch nicht viel anfangen kann, frage ich die wahren Spezialisten hier - hat da schon Jemand im System eingebrochen oder sind das nur Versuche ? Ich hab jetzt sicherheitshalber Samba abgeschaltet, da ist aber nur ein User eingetragen, mit einem Passwort das nocht unbediengt durch BF gekrackt werden kann. (Wenigstens nicht in diesem Jahrtausend <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">) Und was meint er mit service c ?

Bitte, bitte, sagt doch mal jemand, was es sein könnte.

Pitush.

[Descartes]

> Oct 6 00:52:12 linux smbd[9780]: [2002/10/06 00:52:12, 0] smbd/service.c:make_connection(249)
> Oct 6 00:52:12 linux smbd[9780]: localhost (216.191.158.211) couldn't find service c

Heisst die Fehlermeldung nicht eher "couldn't find service c$" ?

Die IP Adressen machen mich etwas stutzig. Falls die IP Adressen nicht zu deinem LAN gehören dann versucht da jemand aus USA (216.*.*.*) bzw. Kanada (211.*.*.*) auf deinen Samba Server (genauer: auf den Admin-Share C$ deines Samba Servers) zuzugreifen.

<blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">
Interesting ports on (211.51.215.239):
(The 1553 ports scanned but not shown below are in state: closed)
Port State Service
139/tcp open netbios-ssn
Remote operating system guess: Windows NT4 / Win95 / Win98

Interesting ports on (216.191.158.211):
(The 1553 ports scanned but not shown below are in state: closed)
Port State Service
139/tcp open netbios-ssn
Remote operating system guess: Windows Millennim Edition (Me), Win 2000, or WinXP
</font><hr></pre></blockquote>

Dein Samba Server -- genauer: die Ports 135...138 tcp+udp -- ist doch hoffentlich vom Internet aus nicht erreichbar? Falls doch: eine Firewall oder eine passende IPTABLES Regel auf dem Linux Rechner kann hier helfen.

[Pitush]

Hi,

Nein. die Meldung ist eindeutig smbd/service.c:make_connection(249)- couldn't find service c

Habs ja von der Cosole 1:1 kopiert. Die Adresspalette recht von USA - über Deutschland (80.128.x.x) bis in die ganze Welt.
Habe einfach nur Angst ob da nicht Jemand auf diese Weise eine DoS Attacke startet, ob das über Samba möglich ist.
Ich kann den Zugang vom Internet nicht Blockieren denn, das ist ja der Sinn der Sache, meine Festplatten von der Arbeit aus einbinden zu können. Ich hatte das früher per FTP gemacht, die Samba lösung gefällt mir aber irgendwie besser. Ausserdem ist das so - ich lerne es gerade, und will alle diese Möglichkeiten ausspielen, wenn's mal darauf ankommen sollte. Auspionieren kann da keiner was, darüber mache ich mir eher weniger Sorgen, es geht nur darum, was es sein kann, und - ob es nicht eine DoS von irgendjemand ist die über mein Rechner läuft.
Das ist heutiger Log - wie man sieht hat es 6 minuten nach dem Start de Samba-Servers angefangen.
Jetzt bin ich noch nicht soweit um es genau zu wissen, aber ich hab beim Samba nur einen User angemeldet. Nicht den root. Ich kann mich selbst vom netzwerk aus nicht als root anmelden. Wird es der jenige schaffen auf den "adminshare" Zugrif zu erlangen ? Er musste den haupt "root" account knacken glaube ich, oder nicht ?
Wie gesagt - ich lerne es gerade und da bin ich noch nicht soweit.

<pre>
Oct 6 11:06:17 linux nmbd[11346]: *****
Oct 6 11:06:17 linux nmbd[11346]:
Oct 6 11:06:17 linux nmbd[11346]: Samba name server LINUX is now a local master browser for workgroup DOMCIO on subnet 1*2.*.*.1
Oct 6 11:06:17 linux nmbd[11346]:
Oct 6 11:06:17 linux nmbd[11346]: *****
Oct 6 11:12:03 linux smbd[11358]: [2002/10/06 11:12:03, 0] smbd/service.c:make_connection(249)
Oct 6 11:12:03 linux smbd[11358]: localhost (203.177.1.91) couldn't find service c
Oct 6 11:13:35 linux smbd[11359]: [2002/10/06 11:13:35, 0] smbd/service.c:make_connection(249)
Oct 6 11:13:35 linux smbd[11359]: localhost (217.131.144.37) couldn't find service c
Oct 6 11:15:58 linux smbd[11382]: [2002/10/06 11:15:58, 0] smbd/service.c:make_connection(249)
Oct 6 11:15:58 linux smbd[11382]: localhost (61.171.132.208) couldn't find service c
Oct 6 11:26:54 linux smbd[11386]: [2002/10/06 11:26:54, 0] smbd/service.c:make_connection(249)
Oct 6 11:26:54 linux smbd[11386]: localhost (210.243.195.135) couldn't find service c
Oct 6 11:28:17 linux smbd[11387]: [2002/10/06 11:28:17, 0] smbd/service.c:make_connection(249)
Oct 6 11:28:17 linux smbd[11387]: localhost (211.46.182.98) couldn't find service c
Oct 6 11:33:45 linux smbd[11415]: [2002/10/06 11:33:45, 0] smbd/service.c:make_connection(249)
Oct 6 11:33:45 linux smbd[11415]: localhost (217.68.163.28) couldn't find service c
Oct 6 11:35:20 linux smbd[11416]: [2002/10/06 11:35:20, 0] smbd/service.c:make_connection(249)
Oct 6 11:35:20 linux smbd[11416]: localhost (218.187.120.130) couldn't find service c
Oct 6 11:36:18 linux smbd[11417]: [2002/10/06 11:36:18, 0] smbd/service.c:make_connection(249)
Oct 6 11:36:18 linux smbd[11417]: localhost (202.57.89.51) couldn't find service c
Oct 6 11:41:26 linux smbd[11421]: [2002/10/06 11:41:26, 0] smbd/service.c:make_connection(249)
Oct 6 11:41:26 linux smbd[11421]: localhost (130.70.135.77) couldn't find service c
Oct 6 11:52:05 linux smbd[11447]: [2002/10/06 11:52:05, 0] smbd/service.c:make_connection(249)
Oct 6 11:52:05 linux smbd[11447]: localhost (211.20.242.204) couldn't find service c
Oct 6 11:53:38 linux smbd[11448]: [2002/10/06 11:53:38, 0] smbd/service.c:make_connection(249)
Oct 6 11:53:38 linux smbd[11448]: localhost (61.79.47.84) couldn't find service c
Oct 6 11:54:56 linux smbd[11449]: [2002/10/06 11:54:56, 0] smbd/service.c:make_connection(249)
Oct 6 11:54:56 linux smbd[11449]: localhost (193.249.23.187) couldn't find service c
Oct 6 11:55:07 linux smbd[11450]: [2002/10/06 11:55:07, 0] smbd/service.c:make_connection(249)
Oct 6 11:55:07 linux smbd[11450]: localhost (217.3.197.229) couldn't find service c
Oct 6 11:56:18 linux smbd[11451]: [2002/10/06 11:56:18, 0] smbd/service.c:make_connection(249)
Oct 6 11:56:18 linux smbd[11451]: localhost (165.229.69.247) couldn't find service c
Oct 6 12:01:13 linux smbd[11481]: [2002/10/06 12:01:13, 0] smbd/service.c:make_connection(249)
Oct 6 12:01:13 linux smbd[11481]: localhost (61.79.39.74) couldn't find service c
Oct 6 12:01:48 linux smbd[11482]: [2002/10/06 12:01:48, 0] smbd/service.c:make_connection(249)
Oct 6 12:01:48 linux smbd[11482]: localhost (218.8.25.103) couldn't find service c
Oct 6 12:03:14 linux smbd[11483]: [2002/10/06 12:03:14, 0] smbd/service.c:make_connection(249)
Oct 6 12:03:14 linux smbd[11483]: localhost (218.165.218.153) couldn't find service c
Oct 6 12:05:21 linux smbd[11484]: [2002/10/06 12:05:21, 0] smbd/service.c:make_connection(249)
Oct 6 12:05:21 linux smbd[11484]: localhost (61.174.219.73) couldn't find service c
Oct 6 12:08:39 linux smbd[11485]: [2002/10/06 12:08:39, 0] smbd/service.c:make_connection(249)
Oct 6 12:08:39 linux smbd[11485]: localhost (211.141.93.89) couldn't find service c
Oct 6 12:12:05 linux smbd[11489]: [2002/10/06 12:12:05, 0] smbd/service.c:make_connection(249)
Oct 6 12:12:05 linux smbd[11489]: localhost (211.75.94.143) couldn't find service c
Oct 6 12:18:46 linux smbd[11512]: [2002/10/06 12:18:46, 0] smbd/service.c:make_connection(249)
Oct 6 12:18:46 linux smbd[11512]: localhost (208.160.55.133) couldn't find service c
Oct 6 12:22:10 linux smbd[11516]: [2002/10/06 12:22:10, 0] smbd/service.c:make_connection(249)
Oct 6 12:22:10 linux smbd[11516]: localhost (24.202.119.214) couldn't find service c
Oct 6 12:23:03 linux smbd[11517]: [2002/10/06 12:23:03, 0] smbd/service.c:make_connection(249)
Oct 6 12:23:03 linux smbd[11517]: localhost (218.162.144.233) couldn't find service c
Oct 6 12:23:08 linux smbd[11518]: [2002/10/06 12:23:08, 0] smbd/service.c:make_connection(249)
Oct 6 12:23:08 linux smbd[11518]: localhost (61.221.104.153) couldn't find service c
Oct 6 12:25:51 linux smbd[11519]: [2002/10/06 12:25:51, 0] smbd/service.c:make_connection(249)
Oct 6 12:25:51 linux smbd[11519]: localhost (193.152.184.9) couldn't find service c
Oct 6 12:27:34 linux smbd[11520]: [2002/10/06 12:27:34, 0] smbd/service.c:make_connection(249)
Oct 6 12:27:34 linux smbd[11520]: localhost (61.78.125.19) couldn't find service c
Oct 6 12:30:51 linux smbd[11548]: [2002/10/06 12:30:51, 0] smbd/service.c:make_connection(249)
Oct 6 12:30:51 linux smbd[11548]: localhost (202.64.93.150) couldn't find service c
Oct 6 12:31:31 linux smbd[11549]: [2002/10/06 12:31:31, 0] smbd/service.c:make_connection(249)
Oct 6 12:31:31 linux smbd[11549]: localhost (202.101.140.6) couldn't find service c
Oct 6 12:33:05 linux smbd[11550]: [2002/10/06 12:33:05, 0] smbd/service.c:make_connection(249)
Oct 6 12:33:05 linux smbd[11550]: localhost (66.183.115.193) couldn't find service c
Oct 6 12:36:16 linux smbd[11551]: [2002/10/06 12:36:16, 0] smbd/service.c:make_connection(249)
Oct 6 12:36:16 linux smbd[11551]: localhost (61.236.117.181) couldn't find service c
Oct 6 12:41:18 linux smbd[11555]: [2002/10/06 12:41:18, 0] smbd/service.c:make_connection(249)
Oct 6 12:41:18 linux smbd[11555]: localhost (147.52.88.134) couldn't find service c
Oct 6 12:42:24 linux smbd[11556]: [2002/10/06 12:42:24, 0] smbd/service.c:make_connection(249)
Oct 6 12:42:24 linux smbd[11556]: localhost (62.234.50.40) couldn't find service c
Oct 6 12:44:22 linux smbd[11557]: [2002/10/06 12:44:22, 0] smbd/service.c:make_connection(249)
Oct 6 12:44:22 linux smbd[11557]: localhost (24.81.106.182) couldn't find service c
Oct 6 12:46:21 linux smbd[11580]: [2002/10/06 12:46:21, 0] smbd/service.c:make_connection(249)
Oct 6 12:46:21 linux smbd[11580]: localhost (203.85.19.94) couldn't find service c
Oct 6 12:46:49 linux smbd[11581]: [2002/10/06 12:46:49, 0] smbd/service.c:make_connection(249)
Oct 6 12:46:49 linux smbd[11581]: localhost (217.84.46.49) couldn't find service c
Oct 6 12:49:17 linux smbd[11582]: [2002/10/06 12:49:17, 0] smbd/service.c:make_connection(249)
Oct 6 12:49:17 linux smbd[11582]: localhost (212.217.148.148) couldn't find service c
Oct 6 12:53:39 linux smbd[11586]: [2002/10/06 12:53:39, 0] smbd/service.c:make_connection(249)
Oct 6 12:53:39 linux smbd[11586]: localhost (217.0.222.93) couldn't find service c
Oct 6 12:53:53 linux smbd[11587]: [2002/10/06 12:53:53, 0] smbd/service.c:make_connection(249)
Oct 6 12:53:53 linux smbd[11587]: localhost (61.145.211.147) couldn't find service c
Oct 6 12:55:34 linux smbd[11588]: [2002/10/06 12:55:34, 0] smbd/service.c:make_connection(249)
Oct 6 12:55:34 linux smbd[11588]: localhost (211.208.245.3) couldn't find service c
Oct 6 12:57:10 linux smbd[11589]: [2002/10/06 12:57:10, 0] smbd/service.c:make_connection(249)
Oct 6 12:57:10 linux smbd[11589]: localhost (61.81.24.231) couldn't find service c
Oct 6 13:01:00 linux smbd[11619]: [2002/10/06 13:01:00, 0] smbd/service.c:make_connection(249)
Oct 6 13:01:00 linux smbd[11619]: localhost (203.168.18.80) couldn't find service c
Oct 6 13:05:49 linux smbd[11623]: [2002/10/06 13:05:49, 0] smbd/service.c:make_connection(249)
Oct 6 13:05:49 linux smbd[11623]: localhost (210.159.161.6) couldn't find service c
Oct 6 13:09:59 linux smbd[11624]: [2002/10/06 13:09:59, 0] smbd/service.c:make_connection(249)
Oct 6 13:09:59 linux smbd[11624]: localhost (80.13.150.190) couldn't find service c
Oct 6 13:14:24 linux smbd[11628]: [2002/10/06 13:14:24, 0] smbd/service.c:make_connection(249)
Oct 6 13:14:24 linux smbd[11628]: localhost (213.93.205.28) couldn't find service c
Oct 6 13:14:44 linux smbd[11629]: [2002/10/06 13:14:44, 0] smbd/service.c:make_connection(249)
Oct 6 13:14:44 linux smbd[11629]: localhost (131.193.66.117) couldn't find service c
</pre>

[Kobajashi Mhura]

Hallo !
Könntest ja der Gaudi halber mal in der whois-Datenbank nachschauen, wem die Adresse gehört oder mit
nmap die Adresse abscannen....

Gruß

[Stormbringer]

Hast Du denn die betreffenden Ports (136, 137, 138, 139 jeweils tcp & udp) nicht per firewall gesperrt?

Gruß

[Pitush]

zu 1: Kobajashi Mhura:

Ja ich könnte, nur schau mal wie VIELE unterschiedliche Adressen es sind - alleine nur in dem Auszug. Jede Anfrage kommt von wo anders her.

Zu 2: Stormbringer:

Nein. verstehe was ich da schreibe. Ich muss über Internet zugang zu dem Server haben. Von der Arbeit aus.

[Lopsch]

Sind Portscans nicht eigentlich verboten .

[Descartes]

> Ich kann den Zugang vom Internet nicht Blockieren denn, das ist ja der Sinn der Sache, meine Festplatten von der Arbeit aus einbinden zu können.

Stichwort: Sicherheit und Datenschutz

Dein Rechner der die Verzeichnisse übers Internet frei gibt steht doch hoffentlich hinter einer Firewall und erlaubt nur Zugriffe von deiner TCP/IP Adresse aus?

Was sagt eure IT-Abteilung bzw. eurer Admin dazu dass du durch diese Aktion die Sicherheit eures Firmennetzwerkes kompromitierst?

> Ich hatte das früher per FTP gemacht, die Samba lösung gefällt mir aber irgendwie besser.

Mit "besser" meinst du wohl eher "bequemer" weil du dann die Daten nicht mehr per FTP-Client hin und her kopieren musst sondern dir die Freigaben ganz einfach per Netzwerkumgebung in Windows einhängen kannst.

> Jetzt bin ich noch nicht soweit um es genau zu wissen, aber ich hab beim Samba nur einen User angemeldet.
> Nicht den root. Ich kann mich selbst vom netzwerk aus nicht als root anmelden.
Wenn du "netzwerk aus nicht als root anmelden" meinst redest du dann von deinen Samba Freigaben oder allgemein?
Telnet ist "böse" -- SecureShell ist "gut". Wenn du dann noch den SSH-Daemon konfigurierst dass dieser nur Logins von bestimmten TCP/IP Adressen annimmt -- noch besser. Direkte Logins als root sind allerdings auch per SSH nicht grade das gelbe vom Ei -- besser root Logins nicht erlauben und sich als normaler User per SSH connecten und dann per "su - root" den User wechseln.

> Wird es der jenige schaffen auf den "adminshare" Zugrif zu erlangen ? Er musste den haupt "root" account knacken glaube ich, oder nicht ?

Admin Shares (also komplette Laufwerksfreigaben von C:\ als C$, D:\ als D$, usw.) gibt es ja nur in Microsoft Windows damit man die Dinger Remote Administrieren kann. Auf Domänen Controllern (und wenn du Samba als PDC bzw. BDC einsetzt) werden AFAIK ebenfalls die Admin Shares benötigt.

Per Default konfiguriert kein Linux Distributor den Samba Daemon zur Verwendung als DC. Admin Shares sind auch keine eingerichtet.

Von daher kann jeder so lange und so eifrig versuchen sich auf die (nicht vorhandene) Netzwerkfreigabe C$ zu connecten. Was nicht da ist kann auch nicht verwendet werden.

[Descartes]

@ Lopsch
> Sind Portscans nicht eigentlich verboten .

Portscans machen nichts anderes als beim Gegenüber mal "anzuklopfen" und nachzuschauen welche Ports offen sind.

Seit wann ist es verboten in einem Wohngebiet an einer Haustür zu klingeln/klopfen und am Türknauf mal zu testen ob die Tür verschlossen ist? Nur reingehen darf ich bei unverschlossener Haustür nicht (Stichwort: Hausfriedensbruch).

Analog dazu wären Portscans erlaubt nur Versuche mich dann auch wirklich per Telnet/SSH/... auf einen bestimmten Port zu connecten nicht...

[Descartes]

Anmerkung zu Portscans:

<blockquote><hr>
Was ist ein Portscan?

Als Scan bezeichnet man alles, was durch extensives Probieren versucht herauszubekommen, welche Dienste ein Rechner oder eine Rechnergruppe anbietet. Ein Portscan fragt höflich und formgerecht alle möglichen Dienste -- das sind 65535 statusbehaftete und nochmal soviele statuslose Quellen auf Basis von IP -- ab. Das ist praktisch ungefährlich, weil man ja keine Dienste anbieten wird, die man nicht kennt. Es ist im praktischen Leben vergleichbar mit der gründlichen Betrachtung eines Hauses. Im Internet "sieht" man eben mit Paketen statt mit Lichtquanten.

Ein Netzscan ist die höfliche und formgerechte Abfrage von ausgewählten Diensten über eine ganze Rechnergruppe. Es ist im praktischen Leben vergleichbar mit der Betrachtung einer Straße auf der Suche nach einem offenen Laden.

Ebenso wie ein Betrachter eines Hauses einen Einbruch planen kann, kann ein Scan einen Angriff vorbereiten. Allerdings ist dieses Indiz praktisch sehr schwach.

Ein etwas tiefer gehender Scan ist der Bannerscan. Dabei wird jeder öffentlich angebotene Dienst kontaktiert und die Server-Software incl. Versionsnummer ermittelt. Auch dies ist legal.

Kein Scan ist notwendigerweise eine Angriffsvorbereitung und schon gar kein Angriff.

Quelle: <a href="http://www.iks-jena.de/mitarb/lutz/usen ... l#Portscan" target="_blank"><!--auto-->http://www.iks-jena.de/mitarb/lutz/usen ... <!--auto-->
<hr></blockquote>


<blockquote><hr>
[...]
Böse Absichten kann man einem Scanner unterstellen, wenn er Stealth Scans oder Fragment-Scans durchführt, Sweeps über komplette Netzwerke oder alle im DNS vorhandenen Hosts durchsucht sowie Scans auf Ports durchführt, die praktisch nur von Trojanern, Denial-of-Service-Tools etc. benutzt werden. Als legitim werden Ping, Traceroute und die normalen Aktivitäten akzeptiert. Finger-Abfragen sind dagegen fast schon jenseits der Grenze.
Dabei ist das Scannen von Rechnern noch nicht einmal verboten. Das Scannen kommt dem Anklopfen an eine Haustür gleich - ob die Haustür verschlossen ist, ist letztendlich Ihre Sache. Jeder, der über eine Hausratsversicherung verfügt, weiss genau, dass die Versicherung nichts zahlt, wenn die Tür offengelassen wurde. Warum also soll diese Fahrlässigkeit nicht auch für Computer gelten?
[...]

Quelle: <a href="http://www.kennwort.de/themen/portscan.htm" target="_blank"><!--auto-->http://www.kennwort.de/themen/portscan. ... <!--auto-->
<hr></blockquote>

<blockquote><hr>
Du mußt Dir das folgendermaßen
vorstellen. Stell Dir vor Du hast einen Garten(PC), der ringsum mit einem
Zaun abgeschlossen ist. Dann gibt es noch ein Tor (port). Jetzt laufen
viele kleine Kiddies umher und wollen einen Blick in Deinen Garten
werfen (Portscan). Na und, kucken ist nicht verboten. Wenn Du aber einen
Apfelbaum(FTP-Server) hineinstellst, so werden die Kiddies versuchen
wollen Äpfel zu klauen. Entfernst Du aber den Apfelbaum so gibt es für
die Kiddies nichts weiter zu tun und sie ziehen zum nächsten Garten(PC).

Quelle: Posting in de.comp.security.firewall
<hr></blockquote>

<blockquote><hr>
Ist ein Port-Scan ein Angriff?

Ein Scan an sich kann nicht als Angriff gewertet werden, da er dem gescannten Computer weder Schaden zufügt noch geeignet ist, Passwörter oder andere Daten auszuspionieren. Somit ist er nach aktuellem Recht auch nicht strafbar. Bei praktisch jeder legalen Anwendung sind die Zugangsdaten bekannt. Daher warnen auch alle gängigen Firewalls grünsätzlich den Besitzer und speichern die IP des potentiellen Angreifers. Die Internet-Anbieter, welche von überbesorgten Usern diese Daten vermitteln bekommen reagieren unterschiedlich. Einige überprüfen diese Beschwerden und mahnen den jeweiligen via Email. Andere Provider - die grössere Zahl - reagieren gelassener und verweisen auf die Legalität dieser Scans.

Jeder offene Port ist eine offene Tür

In diversen Internet-Foren wird die Meinung vertreten, jeder offene Port beinhalte durch seine reine Existenz eine Art Nutzungserlaubnis oder gar -aufforderung. Diverse Praktiken wie das "Parken" grosser Datenmengen auf fremden FTP-Servern werden so gerechtfertigt. Zwar herrscht im Internet ein freier Austausch von Daten, und niemand verlangt eine schriftliche Erlaubnis für den Zugriff auf einen Web-Server mit der Adresse http://www.meine-homepage.ch auf Standart-Port 80. Doch sobald dem Nutzer mit gesundem Menschenverstand klar sein muss, dass seine Art des Zugriffs nicht erwünscht ist oder er gar "zufällig" in privaten Daten stöbert, begibt er sich in den Bereich der Illegalität.

Quelle: <a href="http://www.cablemodem.ch/cgi-bin/ikonbo ... 3&topic=34" target="_blank"><!--auto-->http://www.cablemodem.ch/cgi-bin/ikonbo ... <!--auto-->
<hr></blockquote>

<blockquote><hr>
Portscans

Ein Portscan ist ein gezielter Versuch, Ihren Rechner auf offene Ports - und damit auf angebotene Dienste zu untersuchen.

Diese Scans laufen entweder offen oder verdeckt ab (sog. "Stealth-Scan").

Ihr Firewall ist möglicherweise in der Lage, einen Portscan zu entdecken und zu melden.

Was bedeutet das für Sie?

Erst einmal: garnix.

Sie sollten Ihren Rechner so konfiguriert haben, daß er nur die Dienste nach außen anbietet, die Sie auch anbieten wollen. Das sind also normalerweise überhaupt keine (an einem Standard-Arbeitsplatz). Insofern braucht Sie ein Portscan auch nicht zu interessieren. Vergleichen Sie einen Portscan mit einem Menschen, der auf einem Parkplatz von Auto zu Auto läuft und dort jeweils probiert, ob die Türen offen sind. Sie könnten diesem freilich unterstellen, daß er in die Autos einbrechen will. Ob Sie es allerdings beweisen können, ist mehr als fraglich.

Bei der Polizei anzeigen oder nicht?

Gegenfrage: weswegen?

Weil jemand geschaut hat, ob ihm ein anderer Rechner antwortet? Allein durch einen Portscan wird es Ihnen kaum möglich sein, eine auch nur im Entferntesten kriminelle Absicht zu beweisen. Und wenn Ihr Rechner sauber konfiguriert ist, haben Sie eh nichts zu befürchten.

Außerdem: wer sagt Ihnen, daß die IP-Adresse, die Sie in Ihrem Log haben, auch die echte des "Angreifers" ist? Ein geübter Scanner kann auch seine IP-Adresse fälschen oder er arbeitet über einen Rechner, den er zu seinen Zwecken ohne Wissen des Besitzers "übernommen" hat...

Letzte Bearbeitung: 19.06.2002 - 10:09 Uhr

Quelle: <a href="http://www.computerbetrug.de/netzwerk/p ... .php?p=0|8|" target="_blank"><!--auto-->http://www.computerbetrug.de/netzwerk/p ... <!--auto-->
<hr></blockquote>

[Pitush]

Hoffentlich wird das jetzt keine Schlamschlacht...

Also Leute das mit den Portscans - gehört das nicht in ein anderes Forum ? Ausserdem hilft es mir herzlich wenig, wenn ich eine (von den TAUSEND) Spuren verfolge um auf einem Rechner von einem Hacker (oder einem Opfer - was ich eher vermute) zu Landen und zu erfahren dass er da keine Angaben hat, weil er keinen Server betreibt. Was eher interresant wäre die whois Datenbank, da erfährt man aber auch nur die Besitzer der Netzwerke - nicht der einzelnen IP's.

Und zum konstruktiverem teil vom Descartes:

>> Ich kann den Zugang vom Internet nicht Blockieren denn, das ist ja der Sinn der Sache, meine Festplatten von der
>> Arbeit aus einbinden zu können.

> Stichwort: Sicherheit und Datenschutz

> Dein Rechner der die Verzeichnisse übers Internet frei gibt steht doch hoffentlich hinter einer Firewall und erlaubt nur
>Zugriffe von deiner TCP/IP Adresse aus?

Wenn es ein Firmennetzwerk wäre - wäre mir das Herzlichst egal - sorge dafür sollte der zuständige Sicherheitsexperte tragen. Mein Rechner ist nicht in einem Firmennetzwerk, sondern alleine ans Intenet angeschossen. Das ist ja seine Aufgabe. Nun da auf diesem das "schöne" Redmonter System installiert ist, wo alles mit ein paar Klicks und vielen Farben eingerichtet wird, (das man dabei den Bezug auf Realität verliert ist egal - hauptsache einfach.) - übernehme ich keine Verantwortung. Hab nur gesagt - ich brauche einfach Ständigen kontakt mit meinem Hausrechner.

> Was sagt eure IT-Abteilung bzw. eurer Admin dazu dass du durch diese Aktion die Sicherheit eures Firmennetzwerkes
> kompromitierst?

Gar nix. In diesem Fall bin ich es selbst.


> Mit "besser" meinst du wohl eher "bequemer" weil du dann die Daten nicht mehr per FTP-Client hin und her kopieren musst
> sondern dir die Freigaben ganz einfach per Netzwerkumgebung in Windows einhängen kannst.

Ja auch. Hauptsächlich aber darum das die Softwareverantwortlichen nicht so gerne sehen dass auf dem Rechner "fremdsoftware" installiert wird. Und einen relativ gescheiten FTP client auf der win CD zu finden ist doch nicht so einfach. Das mit dem eingebauten FTP zu bewältigen mach schon mal müde - so einfach ausgedrückt.


>> Jetzt bin ich noch nicht soweit um es genau zu wissen, aber ich hab beim Samba nur einen User angemeldet.
>> Nicht den root. Ich kann mich selbst vom netzwerk aus nicht als root anmelden.

> Wenn du "netzwerk aus nicht als root anmelden" meinst redest du dann von deinen Samba Freigaben oder allgemein?
> Telnet ist "böse" -- SecureShell ist "gut". Wenn du dann noch den SSH-Daemon konfigurierst dass dieser nur Logins von
> bestimmten TCP/IP Adressen annimmt -- noch besser. Direkte Logins als root sind allerdings auch per SSH nicht grade das > gelbe vom Ei -- besser root Logins nicht erlauben und sich als normaler User per SSH connecten und dann per "su - root" > den User wechseln.

Ja ich rede vom Samba root. Telnet ist nicht, ssh hab ich nicht installiert - auch keine anderen inetd dienste sind (noch) nicht aktiv. Und das konfigurieren einer bestimmten ip kommt auch nicht in Frage - alles dynamisch (hause dsl - arbeit isdn.)

Nun um das ganz sicher zu machen konnte ich natürlich direkt meinen Komputer anrufen - das ist aber auch schmarn, wenn der daheim 24h am tag rumeselt, und arbeitsmäßig bin auch auf internet angewiesen.

> Admin Shares (also komplette Laufwerksfreigaben von C:\ als C$, D:\ als D$, usw.) gibt es ja nur in Microsoft Windows
> damit man die Dinger Remote Administrieren kann. Auf Domänen Controllern (und wenn du Samba als PDC bzw. BDC einsetzt)
> werden AFAIK ebenfalls die Admin Shares benötigt.
> Per Default konfiguriert kein Linux Distributor den Samba Daemon zur Verwendung als DC. Admin Shares sind auch keine
> eingerichtet.
> Von daher kann jeder so lange und so eifrig versuchen sich auf die (nicht vorhandene) Netzwerkfreigabe C$ zu connecten.
> Was nicht da ist kann auch nicht verwendet werden.

Und das war das erste was ich wissen wollte. Man sieht ja ziemlich genau dass derjenige nicht reinkommt- (couldn't find service c - obwohl es sowas bei mir gibt - in /c werden meine ersten versuche in "c" mit "hello word" gespiechert...viel Spass, sollte jemand diese Dinger finden...)

Wenn er aber reinkommen sollte ins share - dann nur in die für Samba freigegebenen Verzeichnisse - oder hat er dann die möglichkeit irgenwelche daten auserhalb zu sehen ?

Und das wichtigste: kann er dann - sollte er reingekommen sein - eine DoS von meinem Rechner aus Starten ? Ich weiss nicht wieso aber davor hab ich die meiste Angst - irgendwann als Angeklagter wegen eines Eibruchs ind das Pakistanische Verteidigungsministerium von den Taliban zu landen. Und dabei war ich es garnicht. hmmmm...

Langsam wird es mir zu bunt. Ich meine - wie kommt überhaupt jemand dazu meine Samba umgebung durchzuscanen - ist das irgendwie standart bei den windoofen Kisten dass die netzwerkumgebung die schwachstelle darstelt, und Samba reagiert darauf ?

Danke erstmal allen, und hoffe dass ich noch eines Tages erfahren werde was das ganze Zeug zu bedeuten hat...

Pit.

[Stormbringer]

Ich dachte, ich hätte Dich verstanden ..... und eben aus jenem Grunde kam die Frage.
Ich zweifle nämlich ernsthaft, ob Du verstehst, was Du dort machst.

Aber der Stil paßt schon: erst alle Tore öffnen, und dann icht erkennen, ob man gescannt wird oder nicht ... tststs ...

Gruß

[Descartes]

> Wenn er aber reinkommen sollte ins share - dann nur in die für Samba freigegebenen
> Verzeichnisse - oder hat er dann die möglichkeit irgenwelche daten auserhalb zu sehen ?

Er sieht maximal das was dein Samba Server frei gibt.

> Und das wichtigste: kann er dann - sollte er reingekommen sein - eine DoS von meinem
> Rechner aus Starten ?

Dazu müsste er ein schreibend auf deinen Share zugreifen können und durch z.B. einen BufferOverflow im Samba-Daemon provozieren der dann sein auf den Share kopiertes Script/Programm ausführt. Ansonsten: Nada

> Ich weiss nicht wieso aber davor hab ich die meiste Angst - irgendwann als Angeklagter
> wegen eines Einbruchs in das Pakistanische Verteidigungsministerium von den Taliban zu
> landen. Und dabei war ich es garnicht. hmmmm...

Seit wann haben die Taliban ein pakistanisches Verteidigungsministerium?
Wenn solche Ängste dich quälen solltest du besser deinen Rechner komplett vom Internet trennen.

Plagen dich auch die Ängste, dass jemand nächtens dein geparktes Auto klauen und damit einen Banküberfall begehen könnte und dabei warst du es gar nicht?

BTW: "In dubio pro reo"; hatte doch unsere Punktekartei in Flensburg eines Tages mal gemeint dass ich (besser: mein Auto + Autokennzeichen) in Heidelberg wegen einer Geschwindigkeitsübertretung geblitzt worden wäre. Allerdings war ich (und auch mein Auto) zum angeblichen Tatzeitpunkt nachweislich mehrere hundert Kilometer von Heidelberg entfernt. Das ganze hat sich dann im Sand verlaufen da der eigentlich Blitzer nicht ermittelt hatte werden können...

> Langsam wird es mir zu bunt. Ich meine - wie kommt überhaupt jemand dazu meine Samba
> umgebung durchzuscanen - ist das irgendwie standart bei den windoofen Kisten dass die
> netzwerkumgebung die schwachstelle darstelt, und Samba reagiert darauf ?

Ich habe hier meinen Samba Server nur hinter einer dichten Firewall die allen Traffic auf den Samba-Ports gegenüber dem Internet abschirmt. Aber ich kann mir gut vorstellen dass das was du in deinen Logfiles liest mit dem übereinstimmt was ich letztens mal in einer engl. Samba Newsgroup gelesen habe. Dort hat ein Admin einer amerikanischen Uni berichtet dass er desöfteren teilweise "kilometerlange" Einträge in seinen Samba Logfiles hat. Einfach deshalb weil scheinbar bei Microsoft Windows wenn man auf die Netzwerkumgebung klickt erst mal die Keule rausholt und Marke Broadcast erst mal alle erreichbaren Rechner auf Port 135..138/tcp auffordert ihre Shares zu nennen.