Страница 1 из 1

Чудеса, да и только...

СообщениеДобавлено: 21 июн 2002, 14:53
Сергей Дубров
Очень странную картинку сегодня наблюдал - суюсь в temp-каталог на сервере, сразу же взлетает AVP - мол, в директории вирус (Klez очередной модификации). Ну что ж, дело привычное, пытаюсь посмотреть владельца файла, чтобы перекрыть ему кислород (пока не вылечится) - и глаза лезут на лоб - вместо нормального имени вижу, что владельцем заражённых файлов является рабочая станция, а не пользователь! У меня правила образования имени в ZEN-е оставлены дефолтные, вот я и вижу владельцем некого 00e029567843Skorobog.LAB6.BINP, вместо правильного skorobog.LAB6.BINP.

Чешу в затылке, нахожу в списке активных пользователей этого самого .skorobog.lab6.binp и делаю ему killconn и запрещаю эккаунт. Через пару минут в том же временном каталоге - опять Klez и опять - от имени рабочей станции! Смотрю в списке соединений - да, вижу, что соединение 00e029567843Skorobog.LAB6.BINP - активно, но это же РАБОЧАЯ СТАНЦИЯ, а не юзер! Убиваю и этот коннект - всё, после этого вирусы во временном каталоге больше не появлялись. Как такое может быть вообще?

СообщениеДобавлено: 24 июн 2002, 09:49
Влад А.Сокол aka Akina
Это коннектился ZEN-агент рабочей станции. Все нормально.

Да я понимаю, что это ZEN-агент...

СообщениеДобавлено: 24 июн 2002, 10:31
Сергей Дубров
Владислав А. Сокол aka Ak писал(а):Это коннектился ZEN-агент рабочей станции. Все нормально.


То, что это соединение (второе от станции) именно от ZEN-агента - это я сразу понял. Мне непонятно, почему завирусованные файлы имели владельцем не объект типа пользователь, а зеновского агента (work station)? Означает ли это, что второе (обычно не отъедавшее лицензию, но аутенифицированное) соединение стало вдруг лицензированным и получило возможность писАть на диски сервера? Вот это меня сильно удивляет...

СообщениеДобавлено: 24 июн 2002, 11:18
Александр Попов
Тоже имеем такую проблему! У пользователя вдруг перестает работать RSBank (доступ к btrieve'овским базам). Смотрим в btrmon и балдеем :shock:. В активных пользователях видим станцию, а не юзера! Сшибаем Authenticated соединение (не лицензионное!), все начинает работать.

СообщениеДобавлено: 26 июн 2002, 08:27
Лебедев Виктор
Я вот такую закономерность приметил:
если на сервере "подняты" два протокола (IPX и TCP) и если у клиента тоже работают оба протокола, то иногда подключение происходит по протоколу по умолчанию, а уатентификация в дереве ("нелицензированное" соединение) по другому протоколу. На работу с файл-сервером это никак не влияет. Но! Если обращение идет по порту (для TCP, например, к СУБД запросик и т.д.) или что-то связанное с SAP и т.д. (для IPX/SPX, соответственно), то здесь как раз и проявляются всякие подобные пакости.
Одну причину подобного поведения я нашел - неправильные или неполные данные в органичении сетевого адреса. Это легко исправить. Однако эта пакость нет-нет да и появляется изредка.