Roemer2201 Geschrieben 19. Januar 2010 Geschrieben 19. Januar 2010 wie würdet ihr diese Zeile interpretieren: Kommando: netstat -ne --tcp Aktive Internetverbindungen (ohne Server) Proto Recv-Q Send-Q Local Address Foreign Address State User Inode .... Output .... tcp6 0 39 192.168.2.200:139 64.27.11.55:39317 VERBUNDEN 0 12444563 .... Output .... kann ich das wirklich so lesen, als ob die IP 64.27.11.55 auf Samba auf mein Ubuntu 9.10 zugegriffen hat? die LEDs am Switch und auch am Router haben schön geblinkt, da ichs nicht besser weis, würde ich sagen, dass irgendjemand etwas von meiner freigabe gezogen hat ... Würde das jemand so bestätigen? ^^ Zitieren
Thanks-and-Goodbye Geschrieben 19. Januar 2010 Geschrieben 19. Januar 2010 (bearbeitet) Also ich finde Hinweise darauf, dass 64.27.11.55 ein Open Proxy ist... Hast du Zugriffe über einen derartigen Proxy laufen? Ausserdem läuft auf der IP ein http Server: 01/19/10 21:35:46 Browsing http://64.27.11.55/ Fetching http://64.27.11.55/ ... GET / HTTP/1.1 Host: 64.27.11.55 Connection: close User-Agent: Sam Spade 1.14 HTTP/1.1 200 OK Date: Tue, 19 Jan 2010 20:35:50 GMT Server: Apache/2.2.11 (Win32) DAV/2 mod_ssl/2.2.11 OpenSSL/0.9.8i PHP/5.2.9 X-Powered-By: PHP/5.2.9 Set-Cookie: PHPSESSID=46ae47fd745d946b7c6f8c029ba016f8; path=/ Expires: Thu, 19 Nov 1981 08:52:00 GMT Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 Pragma: no-cache X-Pingback: http://www.showmethelines.com/xmlrpc.php Connection: close Transfer-Encoding: chunked Content-Type: text/html; charset=UTF-8 2094 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head profile="http://gmpg.org/xfn/11"> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> <meta name="distribution" content="global" /> <meta name="robots" content="follow, all" /> <meta name="language" content="en, sv" /> <title>Free sports picks, sports betting tips, betting advice and betting odds - ShowMeTheLines.com</title> <meta name="generator" content="WordPress 2.8.6" /> <meta name="google-site-verification" content="uqezh8Xz-qt7ipGfdE9UHOxDuOKccYQX25pYgDwUnfI" /> <!-- leave this for stats please --> [/CODE] Naja... und dann auch noch eine Seite, die über Godaddy whois protected ist... Bearbeitet 19. Januar 2010 von Chief Wiggum Zitieren
Roemer2201 Geschrieben 19. Januar 2010 Autor Geschrieben 19. Januar 2010 Hm, ich habe garnichts mit Proxies am Hut, zumindest nicht in meinem lokalen Netz. Weder auf einem anderen Rechner hier, noch auf dem betroffenen System selbst. Habe gerade mal noch /var/log/samba/ durchforstet: in dem Ordner sind 3309 Elemente, die man aber halbieren kann, da die nach folgedem schema angelegt werden: # ls -la|grep 64.27 -rw-r--r-- 1 root root 0 2010-01-19 20:15 log.64.27.11.55 -rw-r--r-- 1 root root 0 2010-01-18 20:40 log.__ffff_64.27.11.55 Demzufolge würde ich vermuten, dass Samba für sämtliche Clients zwei Einträge/Dateien in dem Ordner angelegt werden. Nur sind hier für unzählige IPs einträge angelegt. Und ich frage mich wie diese IPs überhaupt so weit durchkommen. Kann es höchstens passieren, dass es schon durch einen Zugriffsversuch/Hackversuch auf den SSH-Daemon zu einem Eintrag in den Samba-logs kommt? Weil täglich schon so einige SSH-Zugriffe abgeblockt und auf die Blacklist geschrieben werden. Hier mal noch die Port-Mapping Tabelle meines Routers: Arcor Easy Box A300 WLAN (Firmware Version:1.00.624): Nr. LAN IP Protokolltyp LAN Port Öffentlicher Port Aktiviert Einstellen 1 192.168.2.200 TCP 22 22 2 192.168.2.200 TCP 80 80 3 192.168.2.200 TCP 443 443 4 192.168.2.100 TCP 6112 6112 5 192.168.2.100 TCP 6113 6113 6 192.168.2.100 UDP 11155 11155 7 192.168.2.100 TCP 11443 11443 8 192.168.2.100 TCP 3105 3105 9 192.168.2.100 UDP 3105 3105 10 192.168.2.100 TCP 3000 3000 11 192.168.2.100 UDP 3000 3000 12 192.168.2.107 TCP 4000 4000 Ist halt für ein paar Spiele und Serverdienste bisl was nach intern weitergeleitet, aber beim besten Willen kein Samba ^^ Sollte noch jemand eine Idee haben, was ich falsch Konfiguriert habe... Zur Info: auf dem betroffenen System läuft ein SSH-Server und ein Apache-Webserver (wie unschwer an den Port-Mappings zu erkennen sein sollte). weitere Dienste des Systems werden nicht ins Internet geforwardet.. Zitieren
Thanks-and-Goodbye Geschrieben 19. Januar 2010 Geschrieben 19. Januar 2010 Hoi, das ist outging traffic, wenn ich das richtig verstehe. Sprich dein System macht eine Netbios Connection nach aussen auf. Zitieren
Roemer2201 Geschrieben 19. Januar 2010 Autor Geschrieben 19. Januar 2010 hab von einem Bekannten mal einen portscan machen lassen und der hat folgendes geliefert: Not shown: 59936 closed ports, 5592 filtered ports PORT STATE SERVICE VERSION 22/tcp open ssh (protocol 2.0) 80/tcp open http Apache httpd 2.2.12 ((Ubuntu)) 139/tcp open netbios-ssn Samba smbd 3.X (workgroup: blabla) 443/tcp open ssh (protocol 2.0) 445/tcp open netbios-ssn Samba smbd 3.X (workgroup: blabla) 2201/tcp open ssh (protocol 2.0) 8085/tcp open unknown Port 22, 80, 443 ist ja klar und das haut auch so hin. aber port 139 und 445 sollte ja beim besten Willen nicht offen sein. Auf 2201 weis ich noch, hatte ich mal was getestet, aber das hatte ich ja auch wieder rausgenommen, wie man an der mapping-tabelle erkennen kann. Und mit port 8085 hatte ich auch mal was getestet, den Eintrag hat er scheinbar auch nicht vergessen... Zitieren
Roemer2201 Geschrieben 19. Januar 2010 Autor Geschrieben 19. Januar 2010 Ich denke mal, für die Lösung kann ich schon noch einen Betrag erfassen: für meine öffentliche IP war eine DMZ auf den Ubuntu-Server eingestellt, deswegen waren die ganzen Ports nach außen offen. Danke für deine Hilfe Chief Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.