Re: Czy ja mam worma?

To: "debian-user-polish@lists.debian.org" <debian-user-polish@lists.debian.org>
Subject: Re: Czy ja mam worma?
From: Jacek Kawa <jfk@zeus.polsl.gliwice.pl>
Date: Sat, 26 Apr 2003 23:00:39 +0200
Message-id: <[🔎] 20030426210039.GA3971@finwe.eu.org>
Mail-followup-to: "debian-user-polish@lists.debian.org" <debian-user-polish@lists.debian.org>
In-reply-to: <[🔎] 1051372085.32471.16.camel@linux>
References: <[🔎] Pine.LNX.4.44.0304261208070.25443-100000@wspinaczka.net> <[🔎] 1051372085.32471.16.camel@linux>

Jak podają anonimowe źródła, przepowiedziano, że Krzysztof Kajkowski napisze:

> > > Czy ja mam worma? Co ja teraz mam zrobiÄ? Jak moge unikaÄ takich
> > > sytuacji?
> Jeszcze coś znalazłem. Poszedłem za sugestią że może to być dziura w
> sambie. Nie wiem jak coś przeszło przez firewalla bo samby na pewno nie
> miałem dostępnej na świat 

Dziwne to nieco. Jesteś pewien tego firewalla? Wspominałeś, że nie jest 
"statyczny" (w sensie reguły są dynamicznie modyfikowane)...

Samba to OIMW porty 137-139, 445 (ale to zdaje się  w nowszej wersji) 
i chyba 524. 

> ale w logach znalazłem:
 
> /var/log/samba/log.smbd
> > [2003/04/24 07:39:10, 0] smbd/server.c:main(698)
> >   smbd version 2.2.3a-12 for Debian started.
                   ^^^^^^^^^

http://www.debian.org/security/2003/dsa-280:

[...]
For the stable distribution (woody) this problem has been fixed in
version 2.2.3a-12.3.
[...]

> >   Copyright Andrew Tridgell and the Samba Team 1992-2002
> (i tak cały czas...)
> pojawił się też /var/log/samba/log.gustavo a w nim

Nie pamiętam poprzednich ogłoszeń związanych z bezpieczeństwem dot.
samby, ale zakłając, że wszystkie poprawki (12.1, 12.2, 12.3) do pakietu 
były związane z jakimiś dziurami...

> > [2003/04/26 07:27:48, 0] smbd/service.c:make_connection(249)
> >   gustavo (24.199.3.74) couldn't find service c

Przynajmniej masz (jakieś) ip -> możesz spróbować abuse@rr.com, ale
to może być jakiś wcześniej przejętey komputer...

[...]
> Czy to coś znaczy?

Przypuszczam, że jest to to, czego szukałeś.

> I jeszcze mam pytanie (nie bijcie ;-) o firewalla. 
> Czy takie regułki nie powodują mi jakiejś dziury:
> > iptables -A OUTPUT -o ppp0 -p TCP --sport 5222 -d 0/0 -j ACCEPT
> > iptables -A INPUT  -i ppp0 -p TCP --dport 5222  -s 0/0 -j ACCEPT

1. Druga na pewno nie, o ile nie masz programu czekającego na połączenia na 
   tym porcie  (nie wiem, czy  ICQ tego potrzebuje do działania).
    [fuser -n tcp 5222]
2. Pierwsza nie, jeśli nie masz programu, który wbrew temu, czego byś sobie
   życzył wyśle coś inicjując połączenie z portu 5222.
3. ICQ (jakiś linuksowy klient?) chodzi raczej z prawami użytkownika,
   więc bezpośrednio grozić by ci mogło zdobycie owych praw.
4. Obie są niepotrzebne, jeśli mają odblokować tylko połączenia ICQ 
   z/dla innych komputerów.

[...]

Pozdrawiam

-- 
Jacek Kawa       **Kto rządzi przeszłością, w tego rękach jest teraźniejszość.
            Kto rządzi teraźniejszością, w tego rękach jest przyszłość** [**1984**]

Reply to:

Follow-Ups:
- Re: Czy ja mam worma?
  - From: Krzysztof Kajkowski <k.kajkowski@elka.pw.edu.pl>

References:
- Re: Czy ja mam worma?
  - From: Mirek Grochowski <mgroch@wspinaczka.net>
- Re: Czy ja mam worma?
  - From: Krzysztof Kajkowski <k.kajkowski@elka.pw.edu.pl>

Prev by Date: Re: iptables - mangle?
Next by Date: Re: problemy z myszka
Previous by thread: Re: Czy ja mam worma?
Next by thread: Re: Czy ja mam worma?
Index(es):
- Date
- Thread