8 ответов в этой теме

[Alexander Rudin]

Для сведения - может поможет кому, а может и исправят со временем. 

 

Обратились ко мне пользователи - перестал работать FTP клиент в активном режиме, т.е .тогда когда сервер инициирует соединение на порт клиента по заранее сообщенному ему номеру порта (команда PORT). Когда именно перестал работать неизвестно, но точно работал еще пару месяцев назад.

В доменной сети установлен DrWeb ES, в 2017 году был переезд с 6 версии на 10.01.0 и полная перестановка агентов на станциях, сейчас там агенты текущей ревизии от 31/01/2019

 

Правило для FTP клиента на разрешение входящих подключений создано, но сессия данных не создается. Изучение списков показало вот такую картину:

 

 drw.png   5,81К   0 Скачано раз

 

Т.е. сервисы DrWEBa в какой то момент "отвязались" от доменного профиля. Netfilter перехватывает соединения, но штатный FW не разрешает подключения к нему в доменном сегменте сети.

После включения профиля домена к правилам DrWeb работа FTP клиента в активном режиме восстановилась.

[Alexander Rudin]

И да - в логах еще момент, не знаю ошибка или нет - при разборе сессии нетфильтром - SMTP detected

 

[29/03/2019 18:03:42 00000724] <DEBUG:1> Redirection: \Device\HarddiskVolume5\User\FTPC.exe (): 28663 -> ( 28664 -> 28665 ) -> 192.168.10.23:21

[29/03/2019 18:03:42 00000724] <DEBUG:1> Trying to connect to: 192.168.10.23:21

[29/03/2019 18:03:42 00000724] <DEBUG:1> SMTP DETECTED

[29/03/2019 18:03:42 00000724] FTP DETECTED

[Kirill Polubelov]

И да - в логах еще момент, не знаю ошибка или нет - при разборе сессии нетфильтром - SMTP detected

Говорят, не ошибка. Разбор идёт в что-то типа реалтайме, по ходу пьесы, т.с., начальные команды похожи, потому, вначале принимается за SMTP, когда команд становится больше, идентифицируется как FTP.

 

Т.е. сервисы DrWEBa в какой то момент "отвязались" от доменного профиля.

Хотите сказать, что drweb должен как-то детектить что его выкинули из исключений и добавлять себя по новой?

[Alexander Rudin]

Говорят, не ошибка. Разбор идёт в что-то типа реалтайме, по ходу пьесы, т.с., начальные команды похожи, потому, вначале принимается за SMTP, когда команд становится больше, идентифицируется как FTP.

Интересно ) По мне так набор команд на старте сильно разный чтобы путаться, но не важно. Просто забавно.

 

 

 

Хотите сказать, что drweb должен как-то детектить что его выкинули из исключений и добавлять себя по новой?

Данная картина на всех компьютерах домена, в том числе и на тех где у пользователей нет административных прав. Поэтому умысел пользователя на удаление правил из доменного профиля исключен. Остается заговор со стороны майкрософта во время какого то апдейта или же  "кривоватое" обновление самого агента, когда перезаписывались правила. Сам я почему то грешу на второй вариант.

Сообщение было изменено Alexander Rudin: 01 Апрель 2019 - 10:38

[Kirill Polubelov]

Всё зависит от того, какова первая команда )

 

Ну, например:

$ telnet localhost 21
Trying ::1...
Connected to localhost.
Escape character is '^]'.
220 ProFTPD Server (kpolubelov3) [::1]
HELP
214-Следующие команды были распознаны (* => не реализовано):
214-CWD     XCWD    CDUP    XCUP    SMNT*   QUIT    PORT    PASV    
214-EPRT    EPSV    ALLO*   RNFR    RNTO    DELE    MDTM    RMD     
214-XRMD    MKD     XMKD    PWD     XPWD    SIZE    SYST    HELP    
214-NOOP    FEAT    OPTS    HOST    CLNT    AUTH*   CCC*    CONF*   
214-ENC*    MIC*    PBSZ*   PROT*   TYPE    STRU    MODE    RETR    
214-STOR    STOU    APPE    REST    ABOR    USER    PASS    ACCT*   
214-REIN*   LIST    NLST    STAT    SITE    MLSD    MLST    
214 Прямой комментарий для root@kpolubelov3
QUIT
221 До свидания.
Connection closed by foreign host.

$ telnet localhost 25
Trying ::1...
Connected to localhost.
Escape character is '^]'.
220 kpolubelov3 ESMTP Exim 4.92-RC5 Mon, 01 Apr 2019 11:00:50 +0300
HELP
214-Commands supported:
214 AUTH HELO EHLO MAIL RCPT DATA BDAT NOOP QUIT RSET HELP
QUIT
221 kpolubelov3 closing connection
Connection closed by foreign host.

Ушло от клиента HELP -- кто это? =)

У нас есть список протоколов, первый  в списке, абсолютно случайно, SMTP, его и пишем в лог (если что, я исходников не видел, просто фантазирую ). Хотя, конечно, правильней было бы писать что детект в процессе... Но, в конце концов, это просто лог.

[Eugeny Gladkih]

в 21м веке SMTP более вероятен, чем FTP

[Alexander Rudin]

Снова слетели правила FW, глянул - везде где исправлял руками снова стоит только общий (публичный) профиль сети. Ревизия агента вроде та же от 31/01, но 10/04 станции просили перезагрузки со стороны агента, поэтому какая то обнова там прилетела. Может все таки поправим это дело?

>netsh advfirewall firewall show rule dir=in name=dwnetfilter.exe

Имя правила:                          dwnetfilter.exe
----------------------------------------------------------------------
Включен:                              Да
Направление:                          Вход
Profiles:                             Публичный
Группировка:                          Dr.Web
LocalIP:                              Любой
Удаленный IP-адрес:                   Любой
Протокол:                             Любой
Обход узлов:                          Нет
Действие:                             Разрешить
ОК.

Сообщение было изменено Alexander Rudin: 17 Апрель 2019 - 10:55

[Kirill Polubelov]

Снова слетели правила FW, глянул - везде где исправлял руками снова стоит только общий (публичный) профиль сети. Ревизия агента вроде та же от 31/01, но 10/04 станции просили перезагрузки со стороны агента, поэтому какая то обнова там прилетела. Может все таки поправим это дело?

Каждый раз во время еды переподключения сетевого соединения (выдернули/воткнули вилку ethernet'а, переназначение dhcp, пр.) винда идентифицирует данное соединение и относит его к тому или иному профилю сети (public, private, domain). То есть, это не от нашего обновления зависит. Но, добавляться в фаерволл уметь стоило бы конечно. Только вот вряд ли это появится уже в 10.1 версии.

Сообщение было изменено Kirill Polubelov: 17 Апрель 2019 - 11:05

[Alexander Rudin]

 

Снова слетели правила FW, глянул - везде где исправлял руками снова стоит только общий (публичный) профиль сети. Ревизия агента вроде та же от 31/01, но 10/04 станции просили перезагрузки со стороны агента, поэтому какая то обнова там прилетела. Может все таки поправим это дело?

Каждый раз во время еды переподключения сетевого соединения (выдернули/воткнули вилку ethernet'а, переназначение dhcp, пр.) винда идентифицирует данное соединение и относит его к тому или иному профилю сети (public, private, domain). То есть, это не от нашего обновления зависит. Но, добавляться в фаерволл уметь стоило бы конечно. Только вот вряд ли это появится уже в 10.1 версии.

 

 

Так и умеет же, правила то не руками писались, а автоматом появились. Также есть куча других входящих правил заданных вручную - они не меняются, как была привязка к профилям так и есть, поэтому кратковременное смена состояния профиля адаптера во время подключений тут не причем.  Сейчас наблюдаю внимательнее - есть подозрение что правила DrWEB в FW меняются во время обновления AV баз.