是哪个服务泄露了机器上的用户名？

hzhr

Debian unstable，安装了防火墙，但机器上开了如下的服务，以下端口是放开的：
          o discard (9/tcp)
          o daytime (13/tcp)
          o ftp (21/tcp)
          o ssh (22/tcp)
          o smtp (25/tcp)
          o time (37/tcp)
          o http (80/tcp)
          o sunrpc (111/tcp)
          o ident (113/tcp)
          o netbios-ssn (139/tcp)
          o microsoft-ds (445/tcp)
          o printer (515/tcp)
          o gdomap (538/tcp)
          o ipp (631/tcp)
          o unknown (6560/tcp)
          o ajp13 (8009/tcp)
          o unknown (8180/tcp)
          o xdmcp (177/udp)
          o netbios-ns (137/udp)

Samba配置了security = user， 开启了guest用户。
最近发现不断有人试图从SMB登录，所尝试的用户名都是本机拥有的。估计是有人使用了某些黑客程序，可以强制重复登录SMB。现在问题是，他们是怎么获得我本机的用户名的？一开始怀疑是 microsoft-ds (445/tcp) 泄露的，停掉后发现还是有人能获得本机的用户名。剩下的值得怀疑的是 netbios-ssn (139/tcp) 和 netbios-ns (137/udp) ，难道这两个SMB端口会泄露用户名？那也太不安全了吧？是怎么泄露出去的？
哪位大侠清楚是怎么回事？多谢指点！

springwind426

估计是ident这个服务

晨想

怎么开了这么多服务。。。。。。不安全哦。

zonzi

o ftp (21/tcp)
o ssh (22/tcp)
o smtp (25/tcp)
o sunrpc (111/tcp)
o ident (113/tcp)
o netbios-ssn (139/tcp)

Yuri

httpd也有可能.它得userdir模块有这毛病.你看看它得日志里面有没有这个一大堆~/xxxxx的东西

hzhr

Post by springwind426
估计是ident这个服务

看网上的资料介绍是ident比较像，但是防火墙堵住了这个端口，外面是不能访问这个端口的，而且从防火墙日记看，是很少有人扫描这个端口的，因此不大可能是，倒是很多扫描microsoft-ds (445/tcp) 的。

发现对SMB的扫描是很有规律的，就是它并没去用暴力的方法去猜用户名，它直接用本机的帐号，如root, bin, sys甚至本机有效的用户帐号去登录，因此一定有一个服务泄露了这些用户名，
怀疑是SAMBA，但它是通过什么方式泄露出去的呢？使用什么样的扫描工具获得了这些用户名呢？另一个怀疑SAMBA的理由是，似乎有人使用的是扫描Windows共享之类的工具，因此它获得机器的帐号后，只去扫描Windows共享的端口，其他的ftp、ssh它根本没有去尝试。我第一次发现时，吓了一跳，因为有个帐号正好用户名密码是一样的。

Arabian

root这个名字还用泄露？

这个一破，别的自然也就尽收眼底了。

hzhr

Post by Arabian
root这个名字还用泄露？

这个一破，别的自然也就尽收眼底了。

扫描Windows共享很少有用root用户的，而且后来它确实又尝试用了我本机的其他用户，因此/etc/passwd文件的用户名不知是怎么被泄露了。
root用户没有被破。

Arabian

Samba是最新的么，3.0.22。

hzhr

Post by Arabian
Samba是最新的么，3.0.22。

就是Samba 3.0.22，难道是Samba的问题？