Re: Czy ja mam worma?
Jak podają anonimowe źródła, przepowiedziano, że Krzysztof Kajkowski napisze:
> > > Czy ja mam worma? Co ja teraz mam zrobiÄ? Jak moge unikaÄ takich
> > > sytuacji?
> Jeszcze coś znalazłem. Poszedłem za sugestią że może to być dziura w
> sambie. Nie wiem jak coś przeszło przez firewalla bo samby na pewno nie
> miałem dostępnej na świat
Dziwne to nieco. Jesteś pewien tego firewalla? Wspominałeś, że nie jest
"statyczny" (w sensie reguły są dynamicznie modyfikowane)...
Samba to OIMW porty 137-139, 445 (ale to zdaje się w nowszej wersji)
i chyba 524.
> ale w logach znalazłem:
> /var/log/samba/log.smbd
> > [2003/04/24 07:39:10, 0] smbd/server.c:main(698)
> > smbd version 2.2.3a-12 for Debian started.
^^^^^^^^^
http://www.debian.org/security/2003/dsa-280:
[...]
For the stable distribution (woody) this problem has been fixed in
version 2.2.3a-12.3.
[...]
> > Copyright Andrew Tridgell and the Samba Team 1992-2002
> (i tak cały czas...)
> pojawił się też /var/log/samba/log.gustavo a w nim
Nie pamiętam poprzednich ogłoszeń związanych z bezpieczeństwem dot.
samby, ale zakłając, że wszystkie poprawki (12.1, 12.2, 12.3) do pakietu
były związane z jakimiś dziurami...
> > [2003/04/26 07:27:48, 0] smbd/service.c:make_connection(249)
> > gustavo (24.199.3.74) couldn't find service c
Przynajmniej masz (jakieś) ip -> możesz spróbować abuse@rr.com, ale
to może być jakiś wcześniej przejętey komputer...
[...]
> Czy to coś znaczy?
Przypuszczam, że jest to to, czego szukałeś.
> I jeszcze mam pytanie (nie bijcie ;-) o firewalla.
> Czy takie regułki nie powodują mi jakiejś dziury:
> > iptables -A OUTPUT -o ppp0 -p TCP --sport 5222 -d 0/0 -j ACCEPT
> > iptables -A INPUT -i ppp0 -p TCP --dport 5222 -s 0/0 -j ACCEPT
1. Druga na pewno nie, o ile nie masz programu czekającego na połączenia na
tym porcie (nie wiem, czy ICQ tego potrzebuje do działania).
[fuser -n tcp 5222]
2. Pierwsza nie, jeśli nie masz programu, który wbrew temu, czego byś sobie
życzył wyśle coś inicjując połączenie z portu 5222.
3. ICQ (jakiś linuksowy klient?) chodzi raczej z prawami użytkownika,
więc bezpośrednio grozić by ci mogło zdobycie owych praw.
4. Obie są niepotrzebne, jeśli mają odblokować tylko połączenia ICQ
z/dla innych komputerów.
[...]
Pozdrawiam
--
Jacek Kawa **Kto rządzi przeszłością, w tego rękach jest teraźniejszość.
Kto rządzi teraźniejszością, w tego rękach jest przyszłość** [**1984**]
Reply to: