8 Replies Latest reply on Sep 20, 2017 8:19 AM by derniwi

    Ungewollte Zugriffe auf DSM-Share und Discovery Client Setup Dateien

    PedroPinto Apprentice

      Hallo zusammen,

       

      wir haben in unserer Umgebung vermehrt ungewollte Zugriffe auf das DSM-Share.
      lt. unseren Neztwerkjungs sind über WAN-Schnittstelle aller DSM Server (6 Stück)  in der Summe ca.4 GB in 1 Std versendet/empfangen worden.

      Wir haben mehrere Sites, wo die Sizezuordnung auch korrekt funktioniert.

      In der Computerverwaltung der einzelnen Siteserver tauchen die Dateien DSMC.exe und cesetup.exe als geöffnete Dateien auf.
      Zusätzlich werden diese Dateien kreuz und quer von Clients der Site A auf Server Site B und so weiter als geöffnet anzeigt. Ausschließen kann ich

      definitiv, dass die Dateien explizit durch "DoppelKlick" geöffnet werden, zumal bis auf 6 Admins keiner Zugriff auf die DSMC selbst hat.

      Die csetup.exe wird vom jeweiligen Server von DSM-Share\SSi\Extern$\Discoclient\csetup.exe geöffnet, aber auch hier von Clients, die
      der Site gar zugehörig sind.

      In der Infrastruktur kann man bezgl. der DiscoveryIntegration nur den Discovery Server und dessen Clientverzeichnis eingeben. Und das erklärt immer noch nicht,

      warum dieser Wildwuchs an Zugriffen passiert. Ticket habe ich eröffnet, und hoffe dass mir da jemand helfen kann.

       

      Wir setzen Discovery 9.4.6 und DSM 2016.2 3660 ein.
      Hat jemand spontan eine Idee oder jemand das gleiche Verhalten in seiner Umgebung ?

       

      Gruß

      Pedro

        • 1. Re: Ungewollte Zugriffe auf DSM-Share und Discovery Client Setup Dateien
          SupportEmployee

          Hallo Herr Pinto,

           

          Hier noch einmal die Antwort, welche ich Ihnen zum Incident 30334593 geschrieben habe:

           

          Hallo Herr Pinto,

           

          Dieses Verhalten ist kein Standardverhalten. Die DSMC.exe gehört nicht zum Client-Agent und die Csetup.exe ist der Discovery-Client-Installer und es erschließt sich mir nicht wieso diese wieder und wieder kopiert wird

           

          Bitte senden Sie uns die kompletten Nilogs einen Clients im Reportlevel 0, wo man die Zugriffe sehen kann.

           

          Vielen Dank!

          • 2. Re: Ungewollte Zugriffe auf DSM-Share und Discovery Client Setup Dateien
            derniwi Master

            Hallo Pdero,

             

            verstehe ich das richtig, dass die DSMC.exe nicht kopiert wird, sondern "nur" geöffnet? Ebenso andere .exe aus den Freigaben?

             

            Kann es an der Konfiguration des Virenscanners auf verschiedenen Maschinen liegen, dass auch Dateien aus dem Netzwerk gescannt werden? Ich könnte mir hier vorstellen, dass der Virenscanner erkennt, dass ein Zugriff auf ein Netzwerkverzeichnis stattfindet und dieses dann automatisch geprüft wird.

             

            Dies Verhalten kann auch auftreten, wenn ein Netzwerkverzeichnis im Explorer geöffnet wird, denn der Explorer öffnet (was jetzt nicht heißt, dass er diese auch startet!) .exe-Dateien an, um die Symbole zu laden.

             

            Gruß

            Nils

            • 3. Re: Ungewollte Zugriffe auf DSM-Share und Discovery Client Setup Dateien
              PedroPinto Apprentice

              Scheinbar werden die Files kopiert, zumindest lt. Filestream vom wireshark.
              Die beiden Dateien, also die dsmc.exe und csetup.exe werden nur geöffnet, es sei denn, man hat die Console "in echt" gestartet, da sieht mal ja auch noch viel mehr Dateien, die geöffnet werden, was ja auch ok ist.
              Dass soll viele Kollegen, die ja eh keinen Zugriff haben, das Verzeichnis DSM-Share\ssi\extern$\discoclient öffnen, kann ich einfach nicht glauben und dann auch noch Standort übergreifend..

              Merkwürdig sind die Zugriffe von Clients auf einen Siteserver, mit er gar nichts zu tun hat, sprich Client A, der der Sie A zugeordnet ist, hat die Datei \\DSM-Share\ssi\extern$\discoclient\csetup.exe von Siteserver B
              geöffnet. Virenscanner, hin oder her.

              BTVSENTEO01 - csetup.exe.pngBTVSENTEO01 - DSMC.exe.png

               

              Die  DSMC.exe ist im Virenscanner eh schon vom Scan ausgenommen, die Csetup.exe für ich zur Sicherheit mal auch hinzu.

              • 4. Re: Ungewollte Zugriffe auf DSM-Share und Discovery Client Setup Dateien
                derniwi Master

                Naja, Öffnen, um das Symbol zu laden oder Öffnen, um das Programm zu starten, sollte für WireShark egal sein - ich denke nicht, dass man hier einen Unterschied sieht. Die Datei wird über das Netzwerk gezogen, was auf dem Client passiert, ist etwas anderes.

                 

                Siehst Du, ob Schreibzugriffe versucht werden?

                • 5. Re: Ungewollte Zugriffe auf DSM-Share und Discovery Client Setup Dateien
                  PedroPinto Apprentice

                  Auf die Dateien werden nur lesend zugegriffen. Wir können mittlerweile erkennen, dass ca. alle 2 Stunden versucht wird, auf die csetup.exe und dsmc.exe lesend zuzugreifen.
                  Unser Pollingintervall liegt aber bei 600 Minuten. Habe jetzt DebugLog files an den Support geschickt. Mal sehen, ob was erkennbar ist.
                  Die Dateien werden nacheinander auf allen Siteservern abgefragt, was dann scheinbar den Traffic verursacht.

                  • 6. Re: Ungewollte Zugriffe auf DSM-Share und Discovery Client Setup Dateien
                    PedroPinto Apprentice

                    Also...

                    Es gibt ein Feature im TrendMicro namens "Behaviour Monitoring".

                    In diesem Feature werden andere Pfade definiert als beim RealtimeScan.

                    Dort waren alle DSM-Freigaben als DSM-Share hinterlegt. Alle 2 Stunden werden für das Behaviour Monitoring ebenfalls Pattern aktualisiert, was jeden Client fälschlicherweise dazu
                    animiert diese UNC-Pfade erneut zu scannen. Dieses Verhalten ist von TrendMicro als Bug bestätigt. wir haben nun die UNC-Pfade in der Konfiguration entfernt und haben sofort 40%
                    mehr Bandbreite.

                    Unsere Umgebung läuft sauber und stabil.

                     

                    Ich nutze die Gelegenheit und möchte den iVanti Support ausdrücklich loben, denn Reaktionszeit war vorbildlich und als ich diesen Thread hier aufgemacht habe, hat sich Herr Naumann ja auch über diesen
                    Kommunikationsweg direkt gemeldet. bin begeistert.

                    Nochmals vielen Dank !!

                    1 of 1 people found this helpful
                    • 7. Re: Ungewollte Zugriffe auf DSM-Share und Discovery Client Setup Dateien
                      SupportEmployee

                      Danke für das Feedback!

                       

                      Für alle die diesen Thread lesen:
                      Die Ursache wurde identifiziert nachdem mit dem ProcMon ( https://technet.microsoft.com/de-de/sysinternals/processmonitor.aspx ) ein Filter auf dsmc.exe und csetup.exe gesetzt wurde. Danach konnte man sehen welcher Prozess auf diese Dateien periodisch zugreift.

                      • 8. Re: Ungewollte Zugriffe auf DSM-Share und Discovery Client Setup Dateien
                        derniwi Master

                        Hach ja, ich musste vor kurzem TM von einer Maschine werfen, weil plötztlich die Kommunikation über die serielle Schnittstelle nicht mehr ging. TM deaktiviert, alles geht, TM aktiviert, Kommunikation läuft nicht...

                        Leider nicht das erste mal, dass mir die Antivirensoftware richtig Ärger gemacht hat... und hier wieder ein Beispiel dafür...

                         

                        Aber gut, dass Ihr das Problem gefunden habt.