[Samba-it] Accesso guest a IPC$ da un server Kaspersky...
Marco Gaiarin
gaio at sv.lnf.it
Fri Nov 6 07:17:51 MST 2009
Segnalerò la questione anche al supporto Kaspersky, ma vorrei capire.
Situazione: rete con due DC etch (samba 3.0.24-6etch10), administration
kit di Kaspersky instalato su macchina virtuale (installata su altro
server in fase di installazione, altra storia...).
Dopo qualche minuto dalla partenza della macchina virtuale, un processo
smbd sul *PDC* (il BDC è incolume...) inizia a ciucciare attorno al 50%
della CPU, trattasi del processo:
invernomuto:~# smbstatus | grep 7852
IPC$ 7852 casper Fri Nov 6 14:40:26 2009
ho provato a lasciare la cosa così per ore e non sembra calare, ho finalmente
messo l'host sotto gruppo e quindi questo we resta acceso, vedremo
lunedì.
Se analizzo il traffico di rete vedo un susseguirsi infinito di:
1.210497 10.5.1.11 -> 10.5.1.4 SAMR Connect5 request
1.216793 10.5.1.4 -> 10.5.1.11 SAMR Connect5 response
1.217333 10.5.1.11 -> 10.5.1.4 SAMR EnumDomains request
1.217573 10.5.1.4 -> 10.5.1.11 SAMR EnumDomains response
1.218110 10.5.1.11 -> 10.5.1.4 SAMR LookupDomain request, SANVITO
1.218312 10.5.1.4 -> 10.5.1.11 SAMR LookupDomain response
1.218787 10.5.1.11 -> 10.5.1.4 SAMR OpenDomain request
1.224886 10.5.1.4 -> 10.5.1.11 SAMR OpenDomain response
1.225436 10.5.1.11 -> 10.5.1.4 SAMR QueryDisplayInfo request
1.226038 10.5.1.4 -> 10.5.1.11 SMB Pipe TransactNmPipe Response, FID: 0x77e1
1.226533 10.5.1.11 -> 10.5.1.4 SMB Read AndX Request, FID: 0x77e1, 3256 bytes at offset 0
1.226919 10.5.1.4 -> 10.5.1.11 TCP [TCP segment of a reassembled PDU]
1.227044 10.5.1.4 -> 10.5.1.11 TCP [TCP segment of a reassembled PDU]
1.227078 10.5.1.4 -> 10.5.1.11 DCERPC Response: call_id: 5 ctx_id: 0 [DCE/RPC first fragment]
1.228226 10.5.1.11 -> 10.5.1.4 TCP pip > microsoft-ds [ACK] Seq=68614 Ack=396016 Win=64240 Len=0
1.228236 10.5.1.11 -> 10.5.1.4 SMB Read AndX Request, FID: 0x77e1, 4280 bytes at offset 0
1.228626 10.5.1.4 -> 10.5.1.11 TCP [TCP segment of a reassembled PDU]
1.228745 10.5.1.4 -> 10.5.1.11 TCP [TCP segment of a reassembled PDU]
1.228786 10.5.1.4 -> 10.5.1.11 SAMR QueryDisplayInfo response, STATUS_MORE_ENTRIES, Error: STATUS_MORE_ENTRIES
1.229482 10.5.1.11 -> 10.5.1.4 TCP pip > microsoft-ds [ACK] Seq=68677 Ack=399403 Win=64240 Len=0
1.229490 10.5.1.11 -> 10.5.1.4 SAMR Close request
1.229713 10.5.1.4 -> 10.5.1.11 SAMR Close response
1.230730 10.5.1.11 -> 10.5.1.4 SAMR Close request
1.230993 10.5.1.4 -> 10.5.1.11 SAMR Close response
1.231475 10.5.1.11 -> 10.5.1.4 SMB Close Request, FID: 0x77e1
1.231764 10.5.1.4 -> 10.5.1.11 SMB Close Response, FID: 0x77e1
1.232742 10.5.1.11 -> 10.5.1.4 SMB NT Create AndX Request, Path: \samr
1.232935 10.5.1.4 -> 10.5.1.11 SMB NT Create AndX Response, FID: 0x77e2
1.233483 10.5.1.11 -> 10.5.1.4 DCERPC Bind: call_id: 1 SAMR V1.0
1.233658 10.5.1.4 -> 10.5.1.11 SMB Write AndX Response, FID: 0x77e2, 72 bytes
1.234827 10.5.1.11 -> 10.5.1.4 SMB Read AndX Request, FID: 0x77e2, 1024 bytes at offset 0
1.235003 10.5.1.4 -> 10.5.1.11 DCERPC Bind_ack: call_id: 1 accept max_xmit: 4280 max_recv: 4280
Ho provato ad entrare con un un utente di dominio, ma quella
connessione da guest permane.
Ho provato a spegnere il servizio del Administration Server ed
effettivamente la connessione si chiude.
Cosa sta cercando di fare? Grazie.
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797
Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
More information about the samba-it
mailing list