31 ответов в этой теме

[zubarev]

Здравствуйте.
10.00.0 (06-12-2016 03:00:00)
Все ftp клинты на компьютерах win xp с установленным Dr.Web
не соединяются с серверами ftp.
на компьютерах с неустановленным Dr.Web клиенты ftp работают норм.
Пробовал ftp.exe и telnet-ом из  cmd на 21 порт -не работает,на любой другой порт
удавленного/локального хоста отклик получают.
Если выключить встроенный брандмауэр winXP ftp клиенты работают,включить-не работают
 
в исключениях брандмауэра winXP
Рабочий режим                     = Enable
Режим исключения                  = Enable
Enable   dwservice.exe / C:\Program Files\DrWeb\dwservice.exe
Enable   spideragent.exe / C:\Program Files\DrWeb\spideragent.exe
Enable   dwnetfilter.exe / C:\Program Files\DrWeb\dwnetfilter.exe
Enable   Dr.Web Antivirus / C:\Program Files\DrWeb Enterprise Suite\drwagntd.exe
 
пытался "слушать " tcpdampом на 21порт- ничего,при включенном брандмауэре winXP

брандмауэр включен netfilter.log
[06/12/2017 13:54:18 00002698] <DEBUG:1> Redirection: \Device\HarddiskVolume1\Program Files\FreeCommander\FreeCommander.exe (PID=9076, user S-1-5-21-*-*-*-500): 4376 -> ( 4377 -> 4378 ) -> *.*.132.129:21
[06/12/2017 13:54:18 00002698] <DEBUG:1> Trying to connect to: *.*.132.129:21
[06/12/2017 13:54:19 00002698] <DEBUG:1> Cannot connect to the server. Error 10061
[06/12/2017 13:54:19 00002698] <DEBUG:1> Cannot accept the incoming connection from the application: WSAGetLastError = 10061
[06/12/2017 13:54:19 00002698] <DEBUG:1> Exception caught: net_exception (CConnection_Lsp::PrepareConnection, 526). Error code 10061.
[06/12/2017 13:54:19 00002698] <DEBUG:1> Disconnecting.

06/12/2017 13:55:02 00002448] <DEBUG:1> Redirection: \Device\HarddiskVolume1\WINDOWS\system32\ftp.exe (PID=5640, user S-1-5-21-*-*-*-500): 4379 -> ( 4380 -> 4381 ) -> 192.168.53.194:21
[06/12/2017 13:55:02 00002448] <DEBUG:1> Trying to connect to: 192.168.53.194:21
[06/12/2017 13:55:03 00002448] <DEBUG:1> Cannot connect to the server. Error 10061
[06/12/2017 13:55:03 00002448] <DEBUG:1> Cannot accept the incoming connection from the application: WSAGetLastError = 10061
[06/12/2017 13:55:03 00002448] <DEBUG:1> Exception caught: net_exception (CConnection_Lsp::PrepareConnection, 526). Error code 10061.
[06/12/2017 13:55:03 00002448] <DEBUG:1> Disconnecting.
на ssh -ok
[06/12/2017 13:55:17 00002690] <DEBUG:1> Redirection: \Device\HarddiskVolume1\WINDOWS\system32\ftp.exe (PID=5640, user S-1-5-21-*-*-*-500): 4385 -> ( 4386 -> 4387 ) -> 192.168.53.3:22
[06/12/2017 13:55:17 00002690] <DEBUG:1> Trying to connect to: 192.168.53.3:22
[06/12/2017 13:55:17 00002690] <DEBUG:1> UNKNOWN PROTOCOL DETECTED
[06/12/2017 13:55:17 00002690] Unknown or not supported protocol. Skipped.

брандмауэр выключен netfilter.log
[06/12/2017 13:56:06 0000102c] <DEBUG:1> Redirection: \Device\HarddiskVolume1\Program Files\FreeCommander\FreeCommander.exe (PID=9076, user S-1-5-21-*-*-*-500): 4395 -> ( 4396 -> 4397 ) -> *.*.132.129:21
[06/12/2017 13:56:06 0000102c] <DEBUG:1> Trying to connect to: *.*.132.129:21
[06/12/2017 13:56:06 0000102c] <DEBUG:1> SMTP DETECTED <- ????
[06/12/2017 13:56:06 0000102c] FTP DETECTED
[06/12/2017 13:56:06 00000acc] <DEBUG:1> Redirection: \Device\HarddiskVolume1\Program Files\FreeCommander\FreeCommander.exe (PID=9076, user S-1-5-21-*-*-*-500): 4398 -> ( 4399 -> 4400 ) -> *.*.132.129:63691
[06/12/2017 13:56:06 00000acc] <DEBUG:1> Trying to connect to: *.*.132.129:63691
[06/12/2017 13:56:06 00000acc] <DEBUG:1> UNKNOWN PROTOCOL DETECTED
[06/12/2017 13:56:06 00000acc] Unknown or not supported protocol. Skipped.
[06/12/2017 13:56:10 0000102c] <DEBUG:1> Disconnecting.

недавно (не помню точно когда ) все было ок.
Подскажите ,что может быть не так?
Запущенные компоненты
06-12-2017 15:06:23 SpIDer Guard для рабочих станций Windows Служебный процесс NT AUTHORITY\SYSTEM
06-12-2017 15:06:23 Офисный контроль Dr.Web Служебный процесс NT AUTHORITY\SYSTEM
06-12-2017 15:06:23 SpIDer Mail для Windows Служебный процесс NT AUTHORITY\SYSTEM
06-12-2017 14:35:31 Превентивная защита Служебный процесс NT AUTHORITY\SYSTEM
06-12-2017 14:23:30 Самозащита Dr.Web Служебный процесс NT AUTHORITY\SYSTEM

 installedcomponents__06-12-2017.xml   2,47К   2 Скачано раз  modules__06-12-2017.xml   14,43К   3 Скачано раз

[Kirill Polubelov]

Так, чтобы сильно долго не ковыряться, попробуйте пощёлкать в фтп-клиенте опциями -- Passive mode, Use firewall (в терминологии FAR-Manager'a)

[Konstantin Yudin]

отчет для тех. поддержки нужен. может alg не доверенный, или винда хакнута/кривая. как вариант добавить в исключения нетфильтра alg

[zubarev]

Так, чтобы сильно долго не ковыряться, попробуйте пощёлкать в фтп-клиенте опциями -- Passive mode, Use firewall (в терминологии FAR-Manager'a)

mode не при чем,даже пробовать смысла нет,дело не доходит даже до установки "сигнального" соединения Телнетом(telnet.exe)с сервером на 21 порт.
Passive/Active mode работают после всех согласований ,тупо не работают исходящие ТСР на 21 порт

отчет для тех. поддержки нужен. может alg не доверенный, или винда хакнута/кривая. как вариант добавить в исключения нетфильтра alg

1.ХР виндов полный офис,все куплены/чисты перед М$ еще при "царе Горохе",с win7,8,10 Unix машинами
такой проблемы нет ,все бегают на фтп локальные/внешние через netfilter норм.Вот просто бац- и на winХР перестали работать ftp клиенты недели 2-3 назад???
2.ALG-да он как здесь?,здесь ни sip ни прочие сложности с nat-ом ,у меня на всех машинах ХР ТСР пакет с syn на 21 порт в локалку даже не выходит.
3.А где настройки прокси-нетфильтра?я вообще по нему ни каких настроек не вижу
4.Отчет для техподдержки сюда прикрепить ,в форум?

Сообщение было изменено zubarev: 07 Декабрь 2017 - 08:03

[zubarev]

отчет для техподдержки создался,сюда его крепить не хочется

[Kirill Polubelov]

Отчет можно либо в личку, либо создать запрос в саппорте.

 

>> mode не при чем,даже пробовать смысла нет,дело не доходит даже до установки "сигнального" соединения Телнетом(telnet.exe)с сервером на 21 порт

Я вообще из первого сообщения, почему-то воспринял, что нетфильтр мешает. Перечитав, понял, что фаерволл.

Так что тут и режимы и исключения нетфильтра мимо.

[Konstantin Yudin]

если нетфильтр не распознает alg то кина не будет при включенном виндовом файерволе.

Сообщение было изменено Konstantin Yudin: 07 Декабрь 2017 - 10:10

[zubarev]

отправил отчет в лички.
alg не запущен,всеработает кроме tcp syn на 21 порт

Сообщение было изменено zubarev: 07 Декабрь 2017 - 10:22

[Konstantin Yudin]

нужно сначала включить расширенный лог в нетфильтре, воспроизвести проблему собрать отчет. а то ничего не видно

Сообщение было изменено Konstantin Yudin: 07 Декабрь 2017 - 10:33

[zubarev]

нужно сначала включить расширенный лог в нетфильтре

 

подскажите где включить подробный лог для drwnetfilter?
Ни в интерфейсе сервера,нм в клиенте я не вижу этого компонента и его опций управления.
Его можно вообще остановить для теста,и компонент чего он?

У меня
SpIDer Gate - не запущен
Брандмауэр Dr.Web (не установлен!)

 

пока включил наугад

"Вести подробный журнал для SpIDer Guard "

"Вести подробный журнал для  SpIDer Mail"

"Вести подробный журнал для  SpIDer Gate" хотя он остановлен

[Kirill Polubelov]

Сервис и нетфильтр периодически падают, в этом месяце тоже есть:

328802$ grep -a ErrorLogEntry SystemInfo.xml  | egrep -a -i "drweb|dr.web|doctor web" |grep -a 201712
                <ErrorLogEntry TimeGenerated="20171206132946.000000+180" Logfile="System" SourceName="Service Control Manager" Category="0" EventIdentifier="3221232503" EventCode="7031" ComputerName="SZUBAREV" Message="Служба Dr.Web Control Service была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 0 мсек: Перезапуск службы." />
                <ErrorLogEntry TimeGenerated="20171206130508.000000+180" Logfile="System" SourceName="Service Control Manager" Category="0" EventIdentifier="3221232506" EventCode="7034" ComputerName="SZUBAREV" Message="Служба &quot;Dr.Web Net Filtering Service&quot; неожиданно прервана. Это произошло (раз): 2." />
                <ErrorLogEntry TimeGenerated="20171206124802.000000+180" Logfile="System" SourceName="Service Control Manager" Category="0" EventIdentifier="3221232506" EventCode="7034" ComputerName="SZUBAREV" Message="Служба &quot;Dr.Web Net Filtering Service&quot; неожиданно прервана. Это произошло (раз): 1." />

 

Только вот как лучше под XP поймать их дампы...
 

[zubarev]

Сервис и нетфильтр периодически падают, в этом месяце тоже есть:

328802$ grep -a ErrorLogEntry SystemInfo.xml  | egrep -a -i "drweb|dr.web|doctor web" |grep -a 201712
                <ErrorLogEntry TimeGenerated="20171206132946.000000+180" 

Перезапуск службы." />
                <ErrorLogEntry TimeGenerated="20171206130508.000000+180"
                <ErrorLogEntry TimeGenerated="20171206124802.000000+180"

Только вот как лучше под XP поймать их дампы...

это я вчера их taskkill-ом пробовал прибить ,до этого я не трогал их

 

сейчас на одной хр машине клиента пробовал ftp.exe виндовым подключиться к ftp-серверу

> ftp: connect :Неизвестный код ошибки
ftp> open 192.168.53.194
> ftp: connect :Неизвестный код ошибки
Клиент гоаорит-"у нас у всех так,у кого старые ХР,мы просто перезагружаем если не можем подключиться к FTP и все работает".

Перезагрузил комп и ftp клиент заработал,свой тестовый пока не перегружаю,буду пытаться как то локализовать проблему.

Все обновления виндоус ХР принимались в автомате регулярно до 2014 года,везде все одинаково,и везде такая проблема только с коннектом на 21 порт.

 

пс.

так компонент чего нетфильтр,SpIDer Gate? Если так- SpIDer Gate не запущен у всех,зачем нетфильтр сканит трафик,для кого?

[maxic]

так компонент чего нетфильтр,SpIDer Gate? Если так- SpIDer Gate не запущен у всех,зачем нетфильтр сканит трафик,для кого?

На драйвере нетфильтра работают спайдермэйл, гейт, офисный контроль.

[zubarev]

были проделаны следующие действия.
раб.станция не перегружалась
1.
в консоли управления ES для моей тестовой машины были установленны следующие опции
SpIDer Mail для Windows Не может быть установлен
SpIDer Gate для рабочих станций Windows Не может быть установлен (
Офисный контроль Dr.Web Не может быть установлен

удалилсь все эти компоненты на раб.станции,Dr.Web попросил перезагрузку,не перезагружались

2.dwnetfilter остался в процессах и проксировал трафик,лог пополняется,убит taskkillом ,более не перезапустился

3.пробуем
Z:\>ftp gate2
> ftp: connect :Неизвестный код ошибки
ftp> open 192.168.53.194
> ftp: connect :Неизвестный код ошибки

4.выключаем встроеный брандмауэр winхр(т.е. как и ранее запускаем через Панель управления ХР Брандмауэр Windows
и ставим чекбокс "ВЫКЛЮЧИТЬ(не рекомендуется)

5.Проверяем ,как и ранее при выключенном Брандмауэр Windows
Z:\>ftp gate2
Связь с gate2.*.
220 FTP server ready.

6.включаем встроенный брандмауэр winхр( ставим чекбокс "ВКЛЮЧИТЬ")

7.проверяем
Z:\>ftp gate2
Связь с gate2.*.
220 FTP server ready.
коннект работает.
компьютер не перезагружался,доктор вэб по прежнему в трее настаивает на перезагрузке,Спайдер
(судя по логу) работает-наблюдаю.

Не пойму в чем дело,как может виндоус закосить одинаково на всех компах с ХР
.попробую еще один комп также.

Сообщение было изменено zubarev: 07 Декабрь 2017 - 12:47

[Kirill Polubelov]

Попробовал в ЕС 10.1, и, хотя с 10.0, в этом отношении, разницы быть не должно, тем не менее, не воспроизводится в таком окружении.

Если быть точным, агент установлен с полным набором, исключая drweb firewall. Windows firewall включен.

[zubarev]

Попробовал в ЕС 10.1, и, хотя с 10.0, в этом отношении, разницы быть не должно, тем не менее, не воспроизводится в таком окружении.

а оно сразу после включения компьютера работает,почему народ и перегружает свои сутками работающие ХРшки при невозможности коннекта к фтп серверу.
Провел опрос-анализ и понял,что это проявляется на тех машина которые сутками
не выключаются,тоже самое и на моей тестовойХР(она не выключается),на которой только ,что удалил Гейт,Майл и Офисный контроль,а также прибил работающий
нетфильтр .И после передергияания брандмауэра коннект к фтп заработал и без перезагрузки компа
буду наблюдать,перестанет коннект к фтп работать или нет....

Сообщение было изменено zubarev: 07 Декабрь 2017 - 13:25

[Kirill Polubelov]

Хорошо, тоже оставлю поработать, может поможет и проблема проявится.

[zubarev]

Хорошо, тоже оставлю поработать, может поможет и проблема проявится.

но я у себя вынес Гейт,Майл и Офисный контроль и нет работающего нетфильтра
Мне даже интересно стало ,сейчас вытащу на свет залежалый 5 лет ХР sp3,практический голый ОС
поставлю на него стандартный в сети конфиг устаноки Доктора (спайдер,сканер,Гейт(отключенный),
Превентивная защита,Майл и Офисный контроль) и пусть он рядом крутится впустую\вхолостую
и буду ждать глюка с коннектом к фтп на нем

Сообщение было изменено zubarev: 07 Декабрь 2017 - 13:43

[SergSG]

Хорошо, тоже оставлю поработать, может поможет и проблема проявится.

Если в файере полно приколов, почему бы им не быть в нетфильтре? Вопрос риторический.

[Kirill Polubelov]

Как у вас с воспроизведением? У меня, пока, работает. UPD: Про бету замечание убрал, это SergSG с панталыку сбил =)

Сообщение было изменено Kirill Polubelov: 11 Декабрь 2017 - 15:11