Attaque serveur Samba
Le
gmoc
Bonjour
Je demarre ma machine à 9h30,je regarde les logs et voila ce que
j'obtiens
Jun 5 09:32:53 linux smbd[3278]: ERROR: Invalid password length 4222.
Jun 5 09:32:53 linux smbd[3278]: Your machine may be under attack by
someone attempting to exploit an old bug.
Jun 5 09:32:53 linux smbd[3278]: Attack was from IP = 82.255.32.184.
Jun 5 09:33:49 linux smbd[3280]: [2005/06/05 09:33:49, 0]
smbd/reply.c:overflow_attack(50)
Jun 5 09:33:49 linux smbd[3280]: ERROR: Invalid password length 4222.
Jun 5 09:33:49 linux smbd[3280]: Your machine may be under attack by
someone attempting to exploit an old bug.
Jun 5 09:33:49 linux smbd[3280]: Attack was from IP = 82.255.92.131.
Jun 5 09:34:33 linux kernel: device ppp0 left promiscuous mode
Jun 5 09:35:20 linux pppoa[2591]: Wrong length field in incoming data 17664
Jun 5 09:35:20 linux pppoa[2591]: Wrong length field in incoming data 17664
A croire que les machines qui m'attaquent attendaient que je démarre !!
Toutes les 2 mn c'est la même attaque avec une IP différente
Est ce un virus qui envoie mon IP et à QUI ?
Les attaques proviennent toujours de ce type de machines
Domain=[WORKGROUP] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]
Une idée ?
Merci de vos réponses
Je demarre ma machine à 9h30,je regarde les logs et voila ce que
j'obtiens
Jun 5 09:32:53 linux smbd[3278]: ERROR: Invalid password length 4222.
Jun 5 09:32:53 linux smbd[3278]: Your machine may be under attack by
someone attempting to exploit an old bug.
Jun 5 09:32:53 linux smbd[3278]: Attack was from IP = 82.255.32.184.
Jun 5 09:33:49 linux smbd[3280]: [2005/06/05 09:33:49, 0]
smbd/reply.c:overflow_attack(50)
Jun 5 09:33:49 linux smbd[3280]: ERROR: Invalid password length 4222.
Jun 5 09:33:49 linux smbd[3280]: Your machine may be under attack by
someone attempting to exploit an old bug.
Jun 5 09:33:49 linux smbd[3280]: Attack was from IP = 82.255.92.131.
Jun 5 09:34:33 linux kernel: device ppp0 left promiscuous mode
Jun 5 09:35:20 linux pppoa[2591]: Wrong length field in incoming data 17664
Jun 5 09:35:20 linux pppoa[2591]: Wrong length field in incoming data 17664
A croire que les machines qui m'attaquent attendaient que je démarre !!
Toutes les 2 mn c'est la même attaque avec une IP différente
Est ce un virus qui envoie mon IP et à QUI ?
Les attaques proviennent toujours de ce type de machines
Domain=[WORKGROUP] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]
Une idée ?
Merci de vos réponses
Poser une question
Une recherche nslookup t'aurait dit pour 82.255.32.184 que c'est un
abonné Free => lns-vlq-19-ren-82-255-32-184.adsl.proxad.net
sur Rennes ???
Une recherche nslookup t'aurait dit pour 82.255.32.184 que c'est un
autre abonné Free => lns-vlq-22-lyo-82-255-92-131.adsl.proxad.net
sur Lyon ???
Plutot des machines en connexion permanente et qui scannent une étendue
d'adresse IP dont tu fais partie avec eux...
(ton IP : 82.255.14.162 => lns-vlq-15-rei-82-255-14-162.adsl.proxad.net)
Reims ?
Windows XP avec Netbios et "tout le toutim" paramétré par défaut et qui
passe leur temps à interroger leur voisinage réseau...
AMHA, des machines mal configurées...
De rien :-)
--
Philippe.
Probablement des PC zombies sous Windows.
Oui cela appelle deux questions :
- que disent les logs du firewall ;
- pourquoi le seveur Samba est-il ouvert sur l'extérieur ?
--
Bruno
Pas forcément. Les attaques avaient vraisemblablement commencé avant,
mais comme ta machine n'était pas démarrée, elle ne les a pas reçues
ni enregistrées.
Ça ressemble plus à une série de zombies qui balance l'attaque au
hasard, sur un paquet d'adresses IP différentes.