Sicherheitslücke in meinem Heimnetz - Sambazugriff aus den USA ?

[Roemer2201]

wie würdet ihr diese Zeile interpretieren:

 Kommando: netstat -ne --tcp

Aktive Internetverbindungen (ohne Server)

Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode      

.... Output ....

tcp6       0     39 192.168.2.200:139       64.27.11.55:39317       VERBUNDEN   0          12444563   

.... Output ....

kann ich das wirklich so lesen, als ob die IP 64.27.11.55 auf Samba auf mein Ubuntu 9.10 zugegriffen hat? die LEDs am Switch und auch am Router haben schön geblinkt, da ichs nicht besser weis, würde ich sagen, dass irgendjemand etwas von meiner freigabe gezogen hat ...

Würde das jemand so bestätigen? ^^

[Chief Wiggum]

Also ich finde Hinweise darauf, dass 64.27.11.55 ein Open Proxy ist... Hast du Zugriffe über einen derartigen Proxy laufen?

Ausserdem läuft auf der IP ein http Server:

01/19/10 21:35:46 Browsing http://64.27.11.55/

Fetching http://64.27.11.55/ ...

GET / HTTP/1.1


Host: 64.27.11.55


Connection: close


User-Agent: Sam Spade 1.14




HTTP/1.1 200 OK


Date: Tue, 19 Jan 2010 20:35:50 GMT


Server: Apache/2.2.11 (Win32) DAV/2 mod_ssl/2.2.11 OpenSSL/0.9.8i PHP/5.2.9


X-Powered-By: PHP/5.2.9


Set-Cookie: PHPSESSID=46ae47fd745d946b7c6f8c029ba016f8; path=/


Expires: Thu, 19 Nov 1981 08:52:00 GMT


Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0


Pragma: no-cache


X-Pingback: http://www.showmethelines.com/xmlrpc.php


Connection: close


Transfer-Encoding: chunked


Content-Type: text/html; charset=UTF-8




2094


<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">


<html xmlns="http://www.w3.org/1999/xhtml">


<head profile="http://gmpg.org/xfn/11">


<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />


<meta name="distribution" content="global" />


<meta name="robots" content="follow, all" />


<meta name="language" content="en, sv" />




<title>Free sports picks, sports betting tips, betting advice and betting odds - ShowMeTheLines.com</title>


<meta name="generator" content="WordPress 2.8.6" />


<meta name="google-site-verification" content="uqezh8Xz-qt7ipGfdE9UHOxDuOKccYQX25pYgDwUnfI" />


<!-- leave this for stats please -->

[/CODE]


Naja... und dann auch noch eine Seite, die über Godaddy whois protected ist...

Bearbeitet 19. Januar 2010 von Chief Wiggum

[Roemer2201]

Hm, ich habe garnichts mit Proxies am Hut, zumindest nicht in meinem lokalen Netz. Weder auf einem anderen Rechner hier, noch auf dem betroffenen System selbst.

Habe gerade mal noch /var/log/samba/ durchforstet:

in dem Ordner sind 3309 Elemente, die man aber halbieren kann, da die nach folgedem schema angelegt werden:

# ls -la|grep 64.27

-rw-r--r--  1 root root       0 2010-01-19 20:15 log.64.27.11.55

-rw-r--r--  1 root root       0 2010-01-18 20:40 log.__ffff_64.27.11.55

Demzufolge würde ich vermuten, dass Samba für sämtliche Clients zwei Einträge/Dateien in dem Ordner angelegt werden. Nur sind hier für unzählige IPs einträge angelegt. Und ich frage mich wie diese IPs überhaupt so weit durchkommen. Kann es höchstens passieren, dass es schon durch einen Zugriffsversuch/Hackversuch auf den SSH-Daemon zu einem Eintrag in den Samba-logs kommt? Weil täglich schon so einige SSH-Zugriffe abgeblockt und auf die Blacklist geschrieben werden. Hier mal noch die Port-Mapping Tabelle meines Routers: Arcor Easy Box A300 WLAN (Firmware Version:1.00.624):

Nr.  	LAN IP  	Protokolltyp  	LAN Port  	Öffentlicher Port  	Aktiviert  	Einstellen

1	192.168.2.200		TCP	22		22		

2	192.168.2.200		TCP	80		80		

3	192.168.2.200		TCP	443		443		

4	192.168.2.100		TCP	6112		6112		

5	192.168.2.100		TCP	6113		6113		

6	192.168.2.100		UDP	11155		11155		

7	192.168.2.100		TCP	11443		11443		

8	192.168.2.100		TCP	3105		3105		

9	192.168.2.100		UDP	3105		3105		

10	192.168.2.100		TCP	3000		3000		

11	192.168.2.100		UDP	3000		3000		

12	192.168.2.107		TCP	4000		4000		

Ist halt für ein paar Spiele und Serverdienste bisl was nach intern weitergeleitet, aber beim besten Willen kein Samba ^^

Sollte noch jemand eine Idee haben, was ich falsch Konfiguriert habe...

Zur Info: auf dem betroffenen System läuft ein SSH-Server und ein Apache-Webserver (wie unschwer an den Port-Mappings zu erkennen sein sollte). weitere Dienste des Systems werden nicht ins Internet geforwardet..

[Chief Wiggum]

Hoi,

das ist outging traffic, wenn ich das richtig verstehe.

Sprich dein System macht eine Netbios Connection nach aussen auf.

[Roemer2201]

hab von einem Bekannten mal einen portscan machen lassen und der hat folgendes geliefert:

Not shown: 59936 closed ports, 5592 filtered ports

PORT     STATE SERVICE     VERSION

22/tcp   open  ssh          (protocol 2.0)

80/tcp   open  http        Apache httpd 2.2.12 ((Ubuntu))

139/tcp  open  netbios-ssn Samba smbd 3.X (workgroup: blabla)

443/tcp  open  ssh          (protocol 2.0)

445/tcp  open  netbios-ssn Samba smbd 3.X (workgroup: blabla)

2201/tcp open  ssh          (protocol 2.0)

8085/tcp open  unknown

Port 22, 80, 443 ist ja klar und das haut auch so hin. aber port 139 und 445 sollte ja beim besten Willen nicht offen sein. Auf 2201 weis ich noch, hatte ich mal was getestet, aber das hatte ich ja auch wieder rausgenommen, wie man an der mapping-tabelle erkennen kann. Und mit port 8085 hatte ich auch mal was getestet, den Eintrag hat er scheinbar auch nicht vergessen...

[Roemer2201]

Ich denke mal, für die Lösung kann ich schon noch einen Betrag erfassen:

für meine öffentliche IP war eine DMZ auf den Ubuntu-Server eingestellt, deswegen waren die ganzen Ports nach außen offen.

Danke für deine Hilfe Chief