-=Wok=- Blog Your Network. Our Passion (Networking ed altro) http://blogs.dotnethell.it/wok/ HyperBlogs Professional v.2.0 Impossibile eseguire qualsiasi .exe http://blogs.dotnethell.it/wok/Post_13359.aspx Wed, 30 Apr 2008 10:34:28 +0100 Stefano Marsani <P>A causa della rimozione di un virus un PC Windows Xp SP2 nel momento in cui si cercava di aprire un qualsiasi .exe (es regedit.exe) apriva una simpatica finestra del tipo "apri con.." :-( </P> <P><IMG src="http://windowsxp.mvps.org/images/exefiles.JPG"></P> <P>Cercando su Google "unable to run .exe" ho trovato nel seguente sito: <A href="http://windowsxp.mvps.org/exefile.htm"><U><FONT color=#0000ff size=2>http://windowsxp.mvps.org/exefile.htm</U></FONT></A>&nbsp;una fantastica utility che ripristina un un lampo la chiave del registry necessaria per eseguire questo tipo di file.</P> <P>Esiste anche la spiegazione su come operare manualmente con anche l'astuto trucco di rinominare regedit.exe in .com :-)</P> Stefano Marsani 4 http://blogs.dotnethell.it/wok/ReadComment_13359.aspx Windows Errore durante la conversione del DB da BES 4.0 a 4.1 http://blogs.dotnethell.it/wok/Post_13064.aspx Wed, 12 Mar 2008 23:21:57 +0100 Stefano Marsani <DIV class=entry> <P>Se durante l’upgrade da Blackberry Enterprise Server 4.0 alla versione 4.1 nel momento in cui il database viene convertito viene visualizzato un errore questo potrebbe essere dovuto ad un limite di dimensione del database.</P> <P>In tal caso provate la seguente procedura:</P> <P>Open a command prompt.<BR>2. Type osql -E and press ENTER.<BR>3. Type the following commands in the specified order:</P> <P>1&gt;exec sp_helpdb&lt;database_name&gt; where &lt;database_name&gt; is the name of the BlackBerry Configuration Database (for example BESMgmt).</P> <P>Note: This will display the logical file names used in the BlackBerry Configuration Database.<BR>2&gt;go<BR>1&gt;ALTER DATABASE&lt;database_name&gt; MODIFY FILE (NAME =&lt;file_name&gt;,<BR>MAXSIZE=UNLIMITED) where &lt;file_name&gt; is the name of the BlackBerry Configuration Database file name that is normally located in the SQL Data directory (for example BESMgmt_log).<BR>2&gt;go<BR>1&gt;quit</P> <P>In ogni caso ancora prima di iniziare qualsiasi tipo di migrazione ricordate di usare il comando:</P> <P>C:\Program Files\Research In Motion\BlackBerry Enterprise Server\Utility&gt; BlackBerryDbBackup -d BESMgmt -f C:\back_dir</P> <P>in modo da avere una copia del DB da rispistinare in caso di fallimento della migrazione.</P></DIV> Stefano Marsani 1 http://blogs.dotnethell.it/wok/ReadComment_13064.aspx Windows Abilitare un gruppo AD come Administrators sui client http://blogs.dotnethell.it/wok/Post_13063.aspx Wed, 12 Mar 2008 23:20:49 +0100 Stefano Marsani <DIV class=entry> <P>&nbsp;Lo scopo dell’operazione è quello di abilitare un gruppo “domain admins it” come “administrators” locali sui client.</P> <P align=left>Creare una nuova GPO e aggiungendo una voce in:</P> <P align=left>Computer Configuration -&gt; Windows Settings -&gt; Security Settings -&gt; Restricted Groups</P> <P align=left><A title=gpo_1a.JPG href="http://blog.configmaker.net/wp-content/uploads/2008/03/gpo_1a.JPG"><IMG alt=gpo_1a.JPG src="http://blog.configmaker.net/wp-content/uploads/2008/03/gpo_1a.JPG"></A></P> <P align=left>&nbsp;A questo punto mettere il gruppo di AD che ci interessa come: &nbsp;dominio\”nome dei gruppo”</P> <P align=left><A title=gpo_2.jpg href="http://blog.configmaker.net/wp-content/uploads/2008/03/gpo_2.jpg"><IMG alt=gpo_2.jpg src="http://blog.configmaker.net/wp-content/uploads/2008/03/gpo_2.jpg"></A></P> <P align=left><A title=gpo_3.jpg href="http://blog.configmaker.net/wp-content/uploads/2008/03/gpo_3.jpg"><IMG alt=gpo_3.jpg src="http://blog.configmaker.net/wp-content/uploads/2008/03/gpo_3.jpg"></A></P> <P align=left>E’ importante notare che si è partiti da il gruppo di AD e si è detto che tale gruppo è membro degli “Administrators” (senza specificare un nome computer).</P> <P align=left>Tale operazione permette di mantenere le impostazioni già presenti sul client, esempio un utente di dominio inserito manualmente come membro del gruppo “Administrators”.</P> <P align=left>N.B.</P> <P>Se si procede in modo contrario, inserendo come “Restricted Groups” il gruppo “Administrators” e poi utilizzando la voce “Membri del gruppo” per inserire un gruppo appartenente al dominio, queste impostazioni andranno a sovrascrivere quelle presenti nel client.</P></DIV> Stefano Marsani 0 http://blogs.dotnethell.it/wok/ReadComment_13063.aspx Microsoft Identificare traffico SMTP anomalo http://blogs.dotnethell.it/wok/Post_13030.aspx Fri, 07 Mar 2008 23:01:59 +0100 Stefano Marsani <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt" align=left><FONT face="Times New Roman"><A title=spamhaus_a4.jpg href="http://blog.configmaker.net/wp-content/uploads/2008/03/spamhaus_a4.jpg" rel=lightbox[pics47]></A><A title=blog_smtp_b.jpg href="http://blog.configmaker.net/wp-content/uploads/2008/03/blog_smtp_b.jpg" rel=lightbox[pics47]></A><A title=parte_3b.JPG href="http://blog.configmaker.net/wp-content/uploads/2008/03/parte_3b.JPG"></A><A title=spamhaus_a4.jpg href="http://blog.configmaker.net/wp-content/uploads/2008/03/spamhaus_a4.jpg"></A><A title=parte_4d1.jpg href="http://blog.configmaker.net/wp-content/uploads/2008/03/parte_4d1.jpg"></A>Qualche tempo fa sono stato chiamato da un amico per cercare di capire perché tutte le email spedite dai PC del suo ufficio venissero marcate come SPAM oppure non ricevute dai destinatari; c’è da aggiungere che l’ufficio è molto piccolo e che per ricevere la posta si appoggia su un server POP3 di un provider e per inviarla usa il server SMTP dell’ISP che gli fornisce la connettività.</FONT></P> <P><?XML:NAMESPACE PREFIX = O /><O:P><FONT face="Times New Roman">&nbsp;</FONT></O:P></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman">Una cosa da verificare sono le liste antispam gestite dalle varie organizzazioni come ad esempio </FONT><A href="http://www.spamhaus.org/lookup.lasso"><FONT face="Times New Roman" color=#0000ff>http://www.spamhaus.org/lookup.lasso</FONT></A><FONT face="Times New Roman"> </FONT></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman">Ma se il risultato dei test, eseguiti più volte, danno tutto verde come nell’esempio seguente la cosa si complica <IMG src="/icons/regular_smile.gif"></FONT></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt">&nbsp;</P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman"><A title=spamhaus_a4.jpg href="http://blog.configmaker.net/wp-content/uploads/2008/03/spamhaus_a4.jpg"></A><A title=spamhaus_a4.jpg href="http://blog.configmaker.net/wp-content/uploads/2008/03/spamhaus_a4.jpg"><IMG alt=spamhaus_a4.jpg src="http://blog.configmaker.net/wp-content/uploads/2008/03/spamhaus_a4.jpg"></A></FONT></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt">&nbsp;</P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><A title=spamhaus_a4.jpg href="http://blog.configmaker.net/wp-content/uploads/2008/03/spamhaus_a4.jpg" rel=lightbox[pics47]></A></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman">A questo punto tocca andare a vedere cosa succede sul posto <IMG src="/icons/regular_smile.gif"></FONT></P> <P><O:P><FONT face="Times New Roman">&nbsp;</FONT></O:P></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman">La prima cosa da fare è contattare i due gestori dei servizi SMTP e POP3 e cercare di capire se nei loro log sono presenti delle informazioni utili.</FONT></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman">Il secondo test che può essere fatto è provare, da un client qualsiasi della rete, a fare un telnet sulla porta 25 del server SMTP e vedere se il banner che si propone in fase di collegamento comunica qualche cosa di anomalo riguardo la sessione che si sta cercando di aprire.</FONT></P> <P><O:P><FONT face="Times New Roman">&nbsp;</FONT></O:P></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman">Avendo fatto questo secondo test in tarda serata ma quando il PC<SPAN>&nbsp; </SPAN>della rete erano ancora accesi il banner del servizio SMTP del provider comunicava che la sessione non poteva essere stabilita perché l’IP di provenienza (quello pubblico del router) era presente in una o più liste di spammer.</FONT></P> <P><O:P><FONT face="Times New Roman">&nbsp;</FONT></O:P></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman">Facendo pochi secondi dopo un test su Spamhause in effetti l’IP risultava presente nella lista XBL.</FONT></P> <P><O:P><FONT face="Times New Roman">&nbsp;</FONT></O:P></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman">A questo punto il problema era capire il perché <IMG src="/icons/regular_smile.gif"></FONT><FONT face="Times New Roman">, il fatto che non ci fosse un server di posta locale presso l’ufficio permetteva di escludere il caso di un Open Relay ma a questo punto si doveva investigare su quale macchina generasse traffico illegale verso il server SMTP del provider.</FONT></P> <P><O:P><FONT face="Times New Roman">&nbsp;</FONT></O:P></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman">Per fare questo la soluzione più rapida, anche se leggermente invasiva è quella di interporre tra la LAN e il gateway un hub come indicato nella figura successiva.</FONT></P> <P><A title=blog_smtp_b.jpg href="http://blog.configmaker.net/wp-content/uploads/2008/03/blog_smtp_b.jpg"></A></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt" align=center><A title=blog_smtp_b.jpg href="http://blog.configmaker.net/wp-content/uploads/2008/03/blog_smtp_b.jpg"><IMG alt=blog_smtp_b.jpg src="http://blog.configmaker.net/wp-content/uploads/2008/03/blog_smtp_b.jpg"></A></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt">&nbsp;</P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><A title=blog_smtp_b.jpg href="http://blog.configmaker.net/wp-content/uploads/2008/03/blog_smtp_b.jpg" rel=lightbox[pics47]></A></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman">In realtà se la rete<SPAN>&nbsp; </SPAN>dispone di switch che permettono la gestione delle porte e sufficiente configurare una porta dell’unità su cui è collegato il gateway (firewall o router che sia) come porta di monitoring in modo tale che tutto il traffico che attraversa l’apparato di rete sia inviata anche su di essa.</FONT></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman">A questo punto è sufficiente collegare o all’hub o alla porta di monitoraggio il proprio portatile su cui si è provveduto ad installare Ethereal </FONT><A href="http://www.ethereal.com/"><FONT face="Times New Roman" color=#0000ff>http://www.ethereal.com/</FONT></A><FONT face="Times New Roman"> . Si tratta di un software gratuito che, utilizzando la modalità promiscua delle schede di rete, intercetta tutto il traffico di passaggio e ne permette la cattura.</FONT></P> <P><O:P><FONT face="Times New Roman">&nbsp;</FONT></O:P></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman">Essendo una rete piccola con pochi client, con un’attività limitata, basato su switch ed essendo il portile attaccata in prossimità del default gateway non è stato necessario applicare alcun tipo di filtro alla cattura, nel caso in cui però il traffico fosse elevato conviene creare un filtro per la cattura del solo protocollo SMTP (porta TCP 25).</FONT></P> <P><O:P><FONT face="Times New Roman">&nbsp;</FONT></O:P></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman">Ecco il risultato della prima cattura:</FONT></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt">&nbsp;</P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><A title=parte_14.jpg href="http://blog.configmaker.net/wp-content/uploads/2008/03/parte_14.jpg"><IMG alt=parte_14.jpg src="http://blog.configmaker.net/wp-content/uploads/2008/03/parte_14.jpg"></A></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman">Da questa schermata si capisce che la macchina 192.168.0.108 sta aprendo delle sessioni SMTP e non verso il server SMTP dell’ISP ma verso svariati server.</FONT></P> <P><O:P><FONT face="Times New Roman">&nbsp;</FONT></O:P></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'">In realtà alcuni dei server a cui il PC cercava di inviare le email, configurati con dei motori antispam aggiornati, reagivano rifiutando le email in arrivo:</SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"><A title=parte_4e.jpg href="http://blog.configmaker.net/wp-content/uploads/2008/03/parte_4e.jpg"><IMG alt=parte_4e.jpg src="http://blog.configmaker.net/wp-content/uploads/2008/03/parte_4e.jpg"></A></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"><A title=parte_4c.jpg href="http://blog.configmaker.net/wp-content/uploads/2008/03/parte_4c.jpg"></A></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"><A title=parte_4d1.jpg href="http://blog.configmaker.net/wp-content/uploads/2008/03/parte_4d1.jpg"></A></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"><A title=parte_4c.jpg href="http://blog.configmaker.net/wp-content/uploads/2008/03/parte_4c.jpg"></A><A title=parte_4c.jpg href="http://blog.configmaker.net/wp-content/uploads/2008/03/parte_4c.jpg"></A></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"><A title=parte_4c.jpg href="http://blog.configmaker.net/wp-content/uploads/2008/03/parte_4c.jpg"></A><A title=parte_4c1.jpg href="http://blog.configmaker.net/wp-content/uploads/2008/03/parte_4c1.jpg"></A><A title=parte_4c.jpg href="http://blog.configmaker.net/wp-content/uploads/2008/03/parte_4c.jpg"></A></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN></P> <P><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt; TEXT-ALIGN: justify">A questo punto era chiaro che chi causava<SPAN>&nbsp; </SPAN>l’attività anomala che faceva inserire l’IP pubblico nelle blacklist era il PC wxpanna.studio.lan 192.168.0.108.</P> <P><O:P>&nbsp;</O:P></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt; TEXT-ALIGN: justify">Sul client eseguendo il comando netstat in<SPAN>&nbsp; </SPAN>una finestra DOS il risultato era una sequenza lunghissima di sessioni SMTP verso i più disparati server internet (purtroppo mi sono perso lo screenshot&nbsp;<IMG src="/icons/confused_smile.gif"> portate pazienza).</P> <P><O:P>&nbsp;</O:P></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'">In realtà sia Symantec Corporate Edition che i vari tool anti spyware (Spybot S&amp;D e AD-Aware) erano però in grado di identificare nessun processo pericoloso, ma cercando nel task manager ed usando<SPAN>&nbsp; </SPAN>“netstat –b” sono riuscito ad identificare una paio di servizi “illegali”.</SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'">&nbsp;<A title=parte_3b.JPG href="http://blog.configmaker.net/wp-content/uploads/2008/03/parte_3b.JPG"><IMG alt=parte_3b.JPG src="http://blog.configmaker.net/wp-content/uploads/2008/03/parte_3b.JPG"></A></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"><A title=parte_3b.JPG href="http://blog.configmaker.net/wp-content/uploads/2008/03/parte_3b.JPG"></A></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"><A title=parte_3b.JPG href="http://blog.configmaker.net/wp-content/uploads/2008/03/parte_3b.JPG"></A></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN></P> <P><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></SPAN><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'"></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt">Disabilitati questi e rifatto un “netstat –b” il PC non creava più traffico SMTP anomalo.</P> <P><O:P>&nbsp;</O:P></P> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt">Non appena possibile cercherò di capire come ha fatto l’utente ad infettare la macchina, immagino lanciando un file .exe scaricato o da internet o arrivato via email.</P></SPAN></SPAN> Stefano Marsani 0 http://blogs.dotnethell.it/wok/ReadComment_13030.aspx Networking RSA Authentication Agent 5.3 for Web acetest http://blogs.dotnethell.it/wok/Post_12991.aspx Thu, 28 Feb 2008 19:35:36 +0100 Stefano Marsani <DIV class=entry> <P>Il metodo più rapido per capire se una macchina con installati gli RSA Authentication Agent 5.3 for Web for Apache Web Server riesce a parlare con il vostro server RSA SecurID 6.1 è usare ./acetest</P> <P>Il problema è che al primo test generalmente il sistema chiede le credenziali ma dopo qualche secondo da: [root@Centos-RSA-Web rsawebagent]# ./acetest</P> <P>Enter USERNAME: utente01</P> <P>Enter PASSCODE:</P> <P>Access denied.</P> <P>Iniziate verificando di aver creato un agent host sul server RSA SecurID e di averlo settato come Open (in tal modo non dovrete aggiungere l’host sui vari utenti per abilitarli ad accedervi) e che il server RSA e il linux box riescano a risolvere correttamente sia utilizzando gli hostname che il fully qualified name</P> <P>&nbsp;Se il problema persiste non probabilmente più è da attribuire ai settaggi dell’agent host sul server RSA SecurID 6.1 ma da come in server Linux con Apache si presenta a questo.</P> <P>Aprite il vostro file /etc/hosts sulla macchina linux su cui avete installato i Web Agent e, se tra le varie righe avete:</P> <P>127.0.0.1 hostname.domainname.com hostname localhost.localdomain.com localhost</P> <P>modificatelo nel seguente modo:</P> <P>127.0.0.1 localhost.localdomain.com localhost</P> <P>&nbsp;xxx.xxx.xxx.xxx hostname.domainname.com hostname</P> <P>&nbsp;Dove xxx.xxx.xxx.xxx è l’effettivo IP della macchina linux</P> <P>A questo punto provate a lanciare nuovamente ./acetest e il risultato dovrebbe essere:</P> <P>&nbsp;[root@Centos-RSA-Web rsawebagent]# ./acetest</P> <P>&nbsp;Enter USERNAME: utente01</P> <P>Enter PASSCODE:</P> <P>PASSCODE accepted.</P></DIV> Stefano Marsani 1 http://blogs.dotnethell.it/wok/ReadComment_12991.aspx Sicurezza