Сервер валится после Shadow Security Scanner

Обсуждение технических вопросов по продуктам Novell

Сервер валится после Shadow Security Scanner

Сообщение Andrey Grigorovich » 05 дек 2003, 16:40

Novell NetWare 5.1 sp3 после сканирования программой Shadow Security Scanner валится в абенд и перегружается.
Сканер находит две уязвимости:
1) IP Services : SNMP Remote Access
2) DoS Bugs : Multiple Vendor SNMP Request Handling Vulnerabilities
После чего на сервере вываливается две критические ошибки и он перегружается...
вот два куска abend.log:

1)
Server ATS halted Friday, October 31, 2003 4:27:17 pm
Abend 1 on P00: Server-5.00j: Page Fault Processor Exception (Error code 00000002)

Registers:
CS = 0008 DS = 0010 ES = 0010 FS = 0010 GS = 0010 SS = 0010
EAX = D083B55E EBX = D083B55F ECX = 00000000 EDX = D1F7BF0C
ESI = 7FFFFC6D EDI = D2857004 EBP = 00000348 ESP = D1F7BE98
EIP = D282F8F6 FLAGS = 00010282
D282F8F6 894FFC MOV [EDI-04]=?,ECX
EIP in SNMP.NLM at code start +000008F6h
Access Location: 0xD2857000

The violation occurred while processing the following instruction:
D282F8F6 894FFC MOV [EDI-04],ECX
D282F8F9 85F6 TEST ESI,ESI
D282F8FB 7FD1 JG D282F8CE
D282F8FD 8B4C2418 MOV ECX,[ESP+18]
D282F901 BE28000000 MOV ESI,00000028
D282F906 8B5904 MOV EBX,[ECX+04]
D282F909 31D2 XOR EDX,EDX
D282F90B 89D8 MOV EAX,EBX
D282F90D F7F6 DIV ESI
D282F90F 89D8 MOV EAX,EBX

Running process: Server 03 Process
Created by: NetWare Application
Thread Owned by NLM: SERVER.NLM
Stack pointer: D1F7BF88
OS Stack limit: D1F78040
Scheduling priority: 67371008
Wait state: 50500F0 (Waiting for work)

2) Server ATS halted Friday, October 31, 2003 4:28:22 pm
Abend 2 on P00: Server-5.00j: Page Fault Processor Exception (Error code 00000000)

Registers:
CS = 0008 DS = 0010 ES = 0010 FS = 0010 GS = 0010 SS = 0010
EAX = D2856000 EBX = D27B24E4 ECX = D27B24E4 EDX = 00000001
ESI = D27B2500 EDI = 00000018 EBP = D48D1B70 ESP = D48D1B54
EIP = FC01D00B FLAGS = 00210006
FC01D00B 8B5204 MOV EDX,[EDX+04]=?
EIP in SERVER.NLM at code start +0001D00Bh
Access Location: 0x00000005

The violation occurred while processing the following instruction:
FC01D00B 8B5204 MOV EDX,[EDX+04]
FC01D00E 8B4814 MOV ECX,[EAX+14]
FC01D011 895010 MOV [EAX+10],EDX
FC01D014 41 INC ECX
FC01D015 8B5010 MOV EDX,[EAX+10]
FC01D018 894814 MOV [EAX+14],ECX
FC01D01B 85D2 TEST EDX,EDX
FC01D01D 750C JNZ FC01D02B
FC01D01F 8B4004 MOV EAX,[EAX+04]
FC01D022 8906 MOV [ESI],EAX

Running process: NLSTRAPNLM 2 Process
Created by: NetWare Application
Thread Owned by NLM: NLSTRAP.NLM
Stack pointer: D48D1C28
OS Stack limit: D48CDCC0
CPU 0 (Thread D48CB660) is in a NO SLEEP state
Scheduling priority: 67371008
Wait state: 5050030 (Blocked on Semaphore)

Мы так поняли, что надо прикрывать SNMP, но как это сделать? Ибо любой любитель посканерить сетку может завалить сервак на раз-два...
With Best Wishes from Siberia,
Андрей Григорович aka Hyper Mode
Аватара пользователя
Andrey Grigorovich
 
Сообщения: 80
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Мегион, ХМАО

Сообщение Владимир Горяев » 05 дек 2003, 16:56

inetcfg
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Andrey Grigorovich » 05 дек 2003, 17:06

Владимир Горяев писал(а):inetcfg

Спасибо огромное!
Очень содержательный и подробный ответ... Я думаю потомки тебя не забудут...
Аватара пользователя
Andrey Grigorovich
 
Сообщения: 80
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Мегион, ХМАО

Сообщение alexp_mac » 05 дек 2003, 17:41

[quote="Andrey Grigorovich"][quote="Владимир Горяев"]inetcfg[/quote]
Спасибо огромное!
Очень содержательный и подробный ответ... Я думаю потомки тебя не забудут...[/quote]


А сп6 поставить никак?
alexp_mac
 
Сообщения: 788
Зарегистрирован: 28 июн 2002, 10:50

Сообщение Владимир Горяев » 05 дек 2003, 19:01

Andrey Grigorovich писал(а):
Владимир Горяев писал(а):inetcfg

Спасибо огромное!
Очень содержательный и подробный ответ... Я думаю потомки тебя не забудут...
Оно конечно пожалуйста. А собственно что непонятно-то?
Manage Configuration, там настраиваешь, если что F1 жмешь. Не понятно - чтишь доку.

А про патчи верное замечание.
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

THNX

Сообщение Бирюков Константин » 07 дек 2003, 11:46

Спасибо, уже сами нашли, мы его не там правили, а в inetcfg както между глаз попадал этот параметр, щас все 3 запретили - всё ок.
Из двух зол побеждает самое злобное. Так появляется добро.
Бирюков Константин
 
Сообщения: 54
Зарегистрирован: 01 авг 2002, 15:27
Откуда: Россия, Мегион

Сообщение Andrey Grigorovich » 07 дек 2003, 13:40

Алексей Подгорчук писал(а):А сп6 поставить никак?

Я так понял, что сп6 - это панацея от всех болячек? А чо тогда новелл сп7бета выложил?
Причем сп6 надо прикручивать одновременно на все наши 25 нетварных сервера, иначе они дс от сп6 не вчухивают.
Аватара пользователя
Andrey Grigorovich
 
Сообщения: 80
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Мегион, ХМАО

Сообщение alexp_mac » 11 дек 2003, 13:32

[quote="Andrey Grigorovich"][quote="Алексей Подгорчук"]А сп6 поставить никак?[/quote]
Я так понял, что сп6 - это панацея от всех болячек? А чо тогда новелл сп7бета выложил?

Ну и вопросы, ну выложил на бета тестирование. Это что запрешено?

Причем сп6 надо прикручивать одновременно на все наши 25 нетварных сервера, иначе они дс от сп6 не вчухивают.[/quote]

Да Вас надо..... за то что вы сервера до сих пор не пропатчили, а потом еще возмущаетесь, чего это оно падает.
alexp_mac
 
Сообщения: 788
Зарегистрирован: 28 июн 2002, 10:50

Сообщение Forestman » 11 дек 2003, 13:53

ты сначала подумай, что будет если какой-нить из 25 серверов (часов за 5-6 езды туда только) отвалится?

а если больше двух тысяч пользователей начнут бамбук курить?

критикуя - предлагай
Лесовой Роман
г.Нижневартовск
Forestman
 
Сообщения: 77
Зарегистрирован: 05 июн 2002, 18:38
Откуда: Нижневартовск

2 Алексей Подгорчук

Сообщение Бирюков Константин » 13 дек 2003, 10:49

2 Алексей Подгорчук
"Да Вас надо..... за то что вы сервера до сих пор не пропатчили, а потом еще возмущаетесь, чего это оно падает."

ну вопервых с SNMP мы с Андреем и без СП6 разобрались,
а вовторых умный дядя, подскажи умную идею как нам 4ём админам накатить сп6 на 33 сервера одновременно ??? причём они как понимаеш не рядом стоят, у меня например один стоит за 30 км от рабочего места, другой за 56 км, Андрею так вообще пол дня добираться до некоторых, а верталёт нам чёйто нихто не даёт :D . Ежели б конечно сп как по нотам становился тада и проблемы нет, а ежели хтото рюхнется ? Так что ежели хто добрую идею подбросит - спасибо говорить буду.... :D
Из двух зол побеждает самое злобное. Так появляется добро.
Бирюков Константин
 
Сообщения: 54
Зарегистрирован: 01 авг 2002, 15:27
Откуда: Россия, Мегион

Не думаю, что все так фатально?

Сообщение Boris Morozov » 14 дек 2003, 03:19

Во первых, откуда вы взяли, что NDS из SP6 будет конфликтовать с версией NDS из SP3?

Обычно такого не происходит. У меня вот 8.7 работает с 6.21 на NW411 в одном дереве и ничего. Сколько работаю с Netware, не помню про такие проблемы. Следуя такой логике, получается, что я ни одну NW6 в дерево не смогу поставить, что на самом деле не так. Ну на худой конец можно deploy из 6 пропустить и она вам сразу скажет про состояние дел и заодно DS поднимет до уровня, если надо.

Мало того, есть отдельные сервис паки по НДС для 7 версии, в частности в DS762C написано, что эта версия просто официально не проверялась на предыдущих сервис паках. И тут же написано, что она должна работать даже с 5.0 SP6. Я не помню, чтобы в 7 версии НДС что-то так глобально менялось, чтобы мог возникнуть конфликт. Проблемы были у 6 с 8 версией, до версии 6.21. Поставьте еще один тестовый сервер с СП6 в дерево и посмотрите. Дерево точно не сломаете. Если так уж страшно, сделайте тестовое дерево из смеси СП3 и СП6, чтобы быть на 100% уверенным. А потом потихоньку меняйте на своих серверах по одному при удобном случае.
Boris Morozov
 
Сообщения: 1333
Зарегистрирован: 05 июн 2002, 22:24
Откуда: Минск

У нас не 7 DS...

Сообщение Andrey Grigorovich » 15 дек 2003, 07:38

Дело в том что у нас не 7-ая версия DS, а 8.80d.
В порядке опыта поставили на один из серверов sp6 и он перестал синхронизировать ds с остальными серверами (окошко dstrace всё в красных строчках), а на нём лежало несколько мастер-реплик и рутовая р/в... Пришлось в выходной день откатывать обратно на sp3 (благо ставили с бэкапом). Т.ч. вопрос не в том встанет сервак в дерево или не встанет, а в синхронизации реплик (которых у нас 30 штук).
With Best Wishes from Siberia,
Андрей Григорович aka Hyper Mode
Аватара пользователя
Andrey Grigorovich
 
Сообщения: 80
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Мегион, ХМАО

Re: У нас не 7 DS...

Сообщение alexp_mac » 15 дек 2003, 11:04

[quote="Andrey Grigorovich"]Дело в том что у нас не 7-ая версия DS, а 8.80d.
В порядке опыта поставили на один из серверов sp6 и он перестал синхронизировать ds с остальными серверами (окошко dstrace всё в красных строчках), а на нём лежало несколько мастер-реплик и рутовая р/в... Пришлось в выходной день откатывать обратно на sp3 (благо ставили с бэкапом). Т.ч. вопрос не в том встанет сервак в дерево или не встанет, а в синхронизации реплик (которых у нас 30 штук).[/quote]

А почему перестал? Причину-то нашли? А чего голословно разбираться-то. Надо было причину искать. Если сами не можете, то надо деньги платить тем, кто может помочь. ( я конечно понимаю, что руководство денег просто так не даст), а то хороша позиция, у меня много серверов поэтому я не могу сп ставить. Знаете как говорили древние пол дела сделал тот, кто начал.
alexp_mac
 
Сообщения: 788
Зарегистрирован: 28 июн 2002, 10:50

Re: У нас не 7 DS...

Сообщение Andrey Grigorovich » 15 дек 2003, 12:22

Алексей Подгорчук писал(а):А почему перестал? Причину-то нашли? А чего голословно разбираться-то. Надо было причину искать. Если сами не можете, то надо деньги платить тем, кто может помочь. ( я конечно понимаю, что руководство денег просто так не даст), а то хороша позиция, у меня много серверов поэтому я не могу сп ставить. Знаете как говорили древние пол дела сделал тот, кто начал.


Ну ты, блин, умный...
У тебя сколько серверов в дереве? У тебя есть время разбираться, почему у тебя реплики не синхронизируются после очередного обновления, когда 1000 пользователей с трудом входят в сеть или вообще не могут войти? По-моему проще откатить назад к рабочему состоянию, чем ломать голову на предмет "где разложены грабли в этот раз"... Тем более, что у нас и с 3-им паком всё прекрасно работает...
Аватара пользователя
Andrey Grigorovich
 
Сообщения: 80
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Мегион, ХМАО

Re: У нас не 7 DS...

Сообщение alexp_mac » 15 дек 2003, 12:26

раз"... Тем более, что у нас и с 3-им паком всё прекрасно работает...[/quote]

Ну и пусть работает. Серверов у меня не 30, а гораздо меньше, уровень отвественности поверьте не меньше. За неимением технических подробностей предлагаю не переходить на личности и закрыть этот вопрос., т.к. собственно он стал флеймом.
alexp_mac
 
Сообщения: 788
Зарегистрирован: 28 июн 2002, 10:50


Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 56

cron