Чудеса, да и только...

Обсуждение технических вопросов по продуктам Novell

Чудеса, да и только...

Сообщение Сергей Дубров » 21 июн 2002, 14:53

Очень странную картинку сегодня наблюдал - суюсь в temp-каталог на сервере, сразу же взлетает AVP - мол, в директории вирус (Klez очередной модификации). Ну что ж, дело привычное, пытаюсь посмотреть владельца файла, чтобы перекрыть ему кислород (пока не вылечится) - и глаза лезут на лоб - вместо нормального имени вижу, что владельцем заражённых файлов является рабочая станция, а не пользователь! У меня правила образования имени в ZEN-е оставлены дефолтные, вот я и вижу владельцем некого 00e029567843Skorobog.LAB6.BINP, вместо правильного skorobog.LAB6.BINP.

Чешу в затылке, нахожу в списке активных пользователей этого самого .skorobog.lab6.binp и делаю ему killconn и запрещаю эккаунт. Через пару минут в том же временном каталоге - опять Klez и опять - от имени рабочей станции! Смотрю в списке соединений - да, вижу, что соединение 00e029567843Skorobog.LAB6.BINP - активно, но это же РАБОЧАЯ СТАНЦИЯ, а не юзер! Убиваю и этот коннект - всё, после этого вирусы во временном каталоге больше не появлялись. Как такое может быть вообще?
Аватара пользователя
Сергей Дубров
 
Сообщения: 2072
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Сообщение Влад А.Сокол aka Akina » 24 июн 2002, 09:49

Это коннектился ZEN-агент рабочей станции. Все нормально.
Влад А.Сокол aka Akina
 
Сообщения: 1326
Зарегистрирован: 05 июн 2002, 09:24
Откуда: Зеленоград, Москва, Россия

Да я понимаю, что это ZEN-агент...

Сообщение Сергей Дубров » 24 июн 2002, 10:31

Владислав А. Сокол aka Ak писал(а):Это коннектился ZEN-агент рабочей станции. Все нормально.


То, что это соединение (второе от станции) именно от ZEN-агента - это я сразу понял. Мне непонятно, почему завирусованные файлы имели владельцем не объект типа пользователь, а зеновского агента (work station)? Означает ли это, что второе (обычно не отъедавшее лицензию, но аутенифицированное) соединение стало вдруг лицензированным и получило возможность писАть на диски сервера? Вот это меня сильно удивляет...
Аватара пользователя
Сергей Дубров
 
Сообщения: 2072
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Сообщение Александр Попов » 24 июн 2002, 11:18

Тоже имеем такую проблему! У пользователя вдруг перестает работать RSBank (доступ к btrieve'овским базам). Смотрим в btrmon и балдеем :shock:. В активных пользователях видим станцию, а не юзера! Сшибаем Authenticated соединение (не лицензионное!), все начинает работать.
Александр Попов
 
Сообщения: 79
Зарегистрирован: 05 июн 2002, 08:27

Сообщение Лебедев Виктор » 26 июн 2002, 08:27

Я вот такую закономерность приметил:
если на сервере "подняты" два протокола (IPX и TCP) и если у клиента тоже работают оба протокола, то иногда подключение происходит по протоколу по умолчанию, а уатентификация в дереве ("нелицензированное" соединение) по другому протоколу. На работу с файл-сервером это никак не влияет. Но! Если обращение идет по порту (для TCP, например, к СУБД запросик и т.д.) или что-то связанное с SAP и т.д. (для IPX/SPX, соответственно), то здесь как раз и проявляются всякие подобные пакости.
Одну причину подобного поведения я нашел - неправильные или неполные данные в органичении сетевого адреса. Это легко исправить. Однако эта пакость нет-нет да и появляется изредка.
Лебедев Виктор
 
Сообщения: 133
Зарегистрирован: 05 июн 2002, 09:03
Откуда: Пермь


Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: Yahoo [Bot] и гости: 4