[Samba-it] Accesso guest a IPC$ da un server Kaspersky...
simo
simo.sorce at xsec.it
Thu Nov 12 08:04:38 MST 2009
On Fri, 2009-11-06 at 15:17 +0100, Marco Gaiarin wrote:
> Segnalerò la questione anche al supporto Kaspersky, ma vorrei capire.
>
> Situazione: rete con due DC etch (samba 3.0.24-6etch10), administration
> kit di Kaspersky instalato su macchina virtuale (installata su altro
> server in fase di installazione, altra storia...).
>
> Dopo qualche minuto dalla partenza della macchina virtuale, un processo
> smbd sul *PDC* (il BDC è incolume...) inizia a ciucciare attorno al 50%
> della CPU, trattasi del processo:
>
> invernomuto:~# smbstatus | grep 7852
> IPC$ 7852 casper Fri Nov 6 14:40:26 2009
>
> ho provato a lasciare la cosa così per ore e non sembra calare, ho finalmente
> messo l'host sotto gruppo e quindi questo we resta acceso, vedremo
> lunedì.
>
> Se analizzo il traffico di rete vedo un susseguirsi infinito di:
>
> 1.210497 10.5.1.11 -> 10.5.1.4 SAMR Connect5 request
> 1.216793 10.5.1.4 -> 10.5.1.11 SAMR Connect5 response
> 1.217333 10.5.1.11 -> 10.5.1.4 SAMR EnumDomains request
> 1.217573 10.5.1.4 -> 10.5.1.11 SAMR EnumDomains response
> 1.218110 10.5.1.11 -> 10.5.1.4 SAMR LookupDomain request, SANVITO
> 1.218312 10.5.1.4 -> 10.5.1.11 SAMR LookupDomain response
> 1.218787 10.5.1.11 -> 10.5.1.4 SAMR OpenDomain request
> 1.224886 10.5.1.4 -> 10.5.1.11 SAMR OpenDomain response
> 1.225436 10.5.1.11 -> 10.5.1.4 SAMR QueryDisplayInfo request
> 1.226038 10.5.1.4 -> 10.5.1.11 SMB Pipe TransactNmPipe Response, FID: 0x77e1
> 1.226533 10.5.1.11 -> 10.5.1.4 SMB Read AndX Request, FID: 0x77e1, 3256 bytes at offset 0
> 1.226919 10.5.1.4 -> 10.5.1.11 TCP [TCP segment of a reassembled PDU]
> 1.227044 10.5.1.4 -> 10.5.1.11 TCP [TCP segment of a reassembled PDU]
> 1.227078 10.5.1.4 -> 10.5.1.11 DCERPC Response: call_id: 5 ctx_id: 0 [DCE/RPC first fragment]
> 1.228226 10.5.1.11 -> 10.5.1.4 TCP pip > microsoft-ds [ACK] Seq=68614 Ack=396016 Win=64240 Len=0
> 1.228236 10.5.1.11 -> 10.5.1.4 SMB Read AndX Request, FID: 0x77e1, 4280 bytes at offset 0
> 1.228626 10.5.1.4 -> 10.5.1.11 TCP [TCP segment of a reassembled PDU]
> 1.228745 10.5.1.4 -> 10.5.1.11 TCP [TCP segment of a reassembled PDU]
> 1.228786 10.5.1.4 -> 10.5.1.11 SAMR QueryDisplayInfo response, STATUS_MORE_ENTRIES, Error: STATUS_MORE_ENTRIES
> 1.229482 10.5.1.11 -> 10.5.1.4 TCP pip > microsoft-ds [ACK] Seq=68677 Ack=399403 Win=64240 Len=0
> 1.229490 10.5.1.11 -> 10.5.1.4 SAMR Close request
> 1.229713 10.5.1.4 -> 10.5.1.11 SAMR Close response
> 1.230730 10.5.1.11 -> 10.5.1.4 SAMR Close request
> 1.230993 10.5.1.4 -> 10.5.1.11 SAMR Close response
> 1.231475 10.5.1.11 -> 10.5.1.4 SMB Close Request, FID: 0x77e1
> 1.231764 10.5.1.4 -> 10.5.1.11 SMB Close Response, FID: 0x77e1
> 1.232742 10.5.1.11 -> 10.5.1.4 SMB NT Create AndX Request, Path: \samr
> 1.232935 10.5.1.4 -> 10.5.1.11 SMB NT Create AndX Response, FID: 0x77e2
> 1.233483 10.5.1.11 -> 10.5.1.4 DCERPC Bind: call_id: 1 SAMR V1.0
> 1.233658 10.5.1.4 -> 10.5.1.11 SMB Write AndX Response, FID: 0x77e2, 72 bytes
> 1.234827 10.5.1.11 -> 10.5.1.4 SMB Read AndX Request, FID: 0x77e2, 1024 bytes at offset 0
> 1.235003 10.5.1.4 -> 10.5.1.11 DCERPC Bind_ack: call_id: 1 accept max_xmit: 4280 max_recv: 4280
>
>
> Ho provato ad entrare con un un utente di dominio, ma quella
> connessione da guest permane.
>
> Ho provato a spegnere il servizio del Administration Server ed
> effettivamente la connessione si chiude.
>
>
> Cosa sta cercando di fare? Grazie.
A naso sta cercando di ottenere info su un file e qualcosa non va, un
tcpdump non aiuta molto, potrebbe dirmi qualcosa di piú un log.
Ma puó essere benissimo un baco di 3.0.x. Ormai la 3.0 é superanziana e
non piú supportata se non per bachi critici di sicurezza.
Sarebbe bene cominciare a preparare una migrazione a 3.4.x
Simo.
More information about the samba-it
mailing list