|
|
|
ВНИМАНИЕ: Използвайте форумите на сайта за дa зададете вашите въпроси.
| Въпрос |
| От: Haknat |
Дата: 07/26/2003 |
Това е файл от директорията/var/log/samba
[data час ,0] smbd/service.c: make_connection(252)
nick (IP-to) couldn't find service c
...................................................
Няколко реда като IP-tata са различни, но с един и същи nick
Не е от моята локална мрежа....
|
| Отговор #1 |
| От: ka |
Дата: 07/26/2003 |
nai weroqtnoto obqsnenie e:
Ma6ina s dinami4no IP se e optwala da se warje nqkolko
pyti kam "c" - misli si 4e si s Windows.
nqma ot kakwo da se pritesqnwa6, qwno 4oweka ne
razbira dostaty4no stom ne e razbral 4e ne si win i 4e
nqma6 "C:", a ako sambata ti e wersiq "2.2.8a" i nagore
(2.2.8 e opasna) nqma zasto da se pritesnqwa6 i ot tiq deto
razbirat powe4e ... zasega ....
|
| Отговор #2 |
| От: Никола Антонов (nikola __@__ debian-nikola __точка__ homelinux __точка__ net) |
Дата: 07/27/2003 |
Не се притеснявай от такива съобщения по логовете.
Обикновено разни заразени с червеи уинбози си търсят жертви.
Така че, не е задължително да е човек, просто някой червей
се опитва да се копира където на каквото му падне. Като видя
access.log-а на апаха, там пък вече е пълно със следи от
nimda и разни такива гадинки. Веднъж на майтап шернах една
директория със самбата на full acces и след няма и повече от
секунда вече два червея се бяха изкопирали, някакви файлове
Dreamweaver.exe с размер 78K;) Ако шерваш по този начин,
можеш да използваш vote files и да забраниш копирането на
изпълними файлове за уинбоза. Слагаш нещо от сорта на
долното в [global] секцията на smb.conf:
veto files =
/*.eml/*.nws/riched20.dll/*.{*}/*.exe/*.EXE/*.com/*.COM/*.bat/*.BAT/
Редът не се пренася, тука просто така излиза. В нашия LAN,
който е огромен и е с реални IP-та, съм шернал една папка за
свободен upload по този начин. Нямам никакви проблеми със
самокопиращите се вируси.
|
| Отговор #3 |
| От: Haknat |
Дата: 07/27/2003 |
Антонов, много благодаря.
Аз да питам...
Те като се мъчат тия гадини да се промъкнат, каква е
вероятността по файловата система да ги има? То е ясно, че
не действат под ГНУ/ Линукс, но все пак ми е интересно.
Ползваш ли някаква анитивирусна програмка и чрез нея ли успя
да разбереш, че от шарната директория някой се е заразил?
Аз вчера през ноща си пуснах iptraf и какво да гледам?
Някакво си IP от не знам си къде (whois, rtaceroute) се
лепна на три IP от локалната мрежата. Дори си направих
снимка. То в мрежата май само аз съм с ГНУ/Линукс :-)
|
| Отговор #4 |
| От: Никола Антонов (nikola__at__debian-nikola__dot__homelinux__dot__net) |
Дата: 07/27/2003 |
Просто има няколко машини в мрежата, които постоянно седят
закачени за шернатите самба ресурси.
bash-2.05b$ smbstatus
Samba version 2.2.3a-14 for Debian
Service uid gid pid machine
----------------------------------------------
cdrom nobody nogroup 7530 katrus
(217.75.142.121) Sun Jul 27 09:41:47 2003
video nobody nogroup 7530 katrus
(217.75.142.121) Sun Jul 27 09:46:41 2003
Ето този например си стои така неперкъснато. Значи нещо
"души" души оттам и ако му дам свободен write-достъп,
веднага ще се копира. Но като използвам veto files, няма как
да го направи.
Иначе, познават се по размера. Този червей специално е
винаги се идн и същи размер (78K), а използва произволни
имена. Какъв е този Dreamweaver.exe? Пък до него има още
няколко варианта, все със същия размер;)
В този смисъл, на мен антивирус не ми трябва. Достатъчно е
да предотвратя самокопирането на изпълними файлове, за да
защитя останалите с виндовси в мрежата. А ако някой
потребител вече качва заразени файлове с друго разширение,
те няма как да се изпънят при мен. Това вече си е на тяхна
отговорност.
|
<< IRCd (5
) | Kak да разбера каква е отсрещната ОС/дистр (3
) >>
|
|
|
|
|
|
