Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 107
А я давно говорил, что Win идет с предустановленным ботнет-агентом.
И не одним.
Лично я не редко просто отрубаю ВСЕ сервисы (кроме основных без которых даже SafeMode не работал бы) а потом включаю только самое необходимое.
Само собой это совет из разряда «для себя». Чужим людям делать так не пытаюсь, мало ли они какой «специфичный» софт юзают. (Который какие-нибудь неожиданные сервисы требует.)
Лично я не редко просто отрубаю ВСЕ сервисы (кроме основных без которых даже SafeMode не работал бы) а потом включаю только самое необходимое.
Само собой это совет из разряда «для себя». Чужим людям делать так не пытаюсь, мало ли они какой «специфичный» софт юзают. (Который какие-нибудь неожиданные сервисы требует.)
Какая версия винды?! Нечто подобное наблюдал пару лет назад на Windows XP SP3.
Windows XP Home Edition with SP2
По идее, для висты это тоже актуально: сегодня с утра посмотрел логи на шлюзе и заметил, что с ноута генерального 15 метров UDP трафика за вчерашний вечер набежало, хотя шквала не было. Вчера в это время меня не было в офисе, а сегодня с утра еще генерального не было, поэтому пока не проверил.
По идее, для висты это тоже актуально: сегодня с утра посмотрел логи на шлюзе и заметил, что с ноута генерального 15 метров UDP трафика за вчерашний вечер набежало, хотя шквала не было. Вчера в это время меня не было в офисе, а сегодня с утра еще генерального не было, поэтому пока не проверил.
Вы все еще сидите без аптейтов? Трояны уже идут к вам.
Несколько лет назад наблюдал именно такую ситуацию на 20% компьютерах в офисе моего знакомого, который попросил помочь ему найти проблему, так как их штатный сисадмин чуть что сразу рвался переустанавливать винду ) Не знаю как на SP3, но на SP2 это частый прикол. А запаниковал знакомый потому, что компания юзала ИП телефонию и канал был 5/2, в итоге 2 мегабита аплоуда были забиты по самый потолок и не было слышно в телефоне ничего что говорили клиенты )
Если компьютер с Windows XP в домене и его время сильно различается с временем на контроллере домена (например, на месяц, точную границу не знаю), то в этот компьютер нельзя будет войти под доменным пользователем.
С описанной проблемой не встречался. Может проблемы не будет, если настроить локальный NTP сервер и обновлять время с него?
С описанной проблемой не встречался. Может проблемы не будет, если настроить локальный NTP сервер и обновлять время с него?
если время сильно различается с временем домена, выдергиваем патчкорд из компьютера и входим под доменным пользователем, настраиваем время и втыкаем шнур.
Как правило, максимально допустимое рассогласование около пяти минут — его можно задавать в настройках службы Kerberos. И да, правильно будет синхронизироваться с локальным сервером.
Домена тут нет, как и АД; тут всего-то 15 машин.
Локальный NTP как раз сегодня поднял, посмотрим что будет.
Локальный NTP как раз сегодня поднял, посмотрим что будет.
А что такое «т.ж.»? Что-то я плохо воспринимаю текст с таким большим количеством одного и того-же сокращения, которое мне непонятно…
Так же? Я, честно говоря, долго думал, пока догадался )
Не заметил «т.ж.», мозг сам разархивировал видимо
т.ж. == так же = также…
Извиняюсь, больше не буду. Привычка сокращать всякие «так же», «так как», «то есть» и тому подобное :)
Извиняюсь, больше не буду. Привычка сокращать всякие «так же», «так как», «то есть» и тому подобное :)
Да почему же, продолжайте :)
Просто устоявшаяся форма сокращения «также» это «тж.», а не «т.ж.»
См. тж. sokr.ru/%D1%82%D0%B6./
Просто устоявшаяся форма сокращения «также» это «тж.», а не «т.ж.»
См. тж. sokr.ru/%D1%82%D0%B6./
у вас одноранговая сетка что ли?
в доменной среде рабочие станции синхронизируются с домен-контроллером, а не странными сервисами
в доменной среде рабочие станции синхронизируются с домен-контроллером, а не странными сервисами
XP Home вроде как ввод в домен не поддерживает, разве нет?
у них вообще там «Windows XP Home Edition with SP2» (с) habrahabr.ru/blogs/infosecurity/90263/#comment_2715454
которая, насколько мне помнится, вообще не умеет вступать в домен.
которая, насколько мне помнится, вообще не умеет вступать в домен.
Да, у меня тут просто рабочая группа. Всего-то тут 15 компов.
да даже 15 компов без групповой политики рулить как-то тяжко
или это я зажрался? :)
или это я зажрался? :)
Похоже, второе ;)
Мне тут не плохо помогают ssh сервер под винду и UnxTools :)
Мне тут не плохо помогают ssh сервер под винду и UnxTools :)
который ssh сервер Вы ставите?
freeSSHd
а как его подружить с русским и прикрутить нормальный шелл?
Извините, попутал немного… freeSSHd использовал раньше. Там действительно проблемы с шелом и русским, тогда я юзал просто набор утилит из UnxTools.
Сейчас использую CopSSH. Там уже сразу идет минимум необходимых утилит и bash. Правда русские имена файлов идут либо вопросами, либо крякозяблами (я про ls), но мне это и не нужно. cat, grep, tail, sed файлы, в которых русские буквы, выводят и обрабатывают нормально.
Сейчас использую CopSSH. Там уже сразу идет минимум необходимых утилит и bash. Правда русские имена файлов идут либо вопросами, либо крякозяблами (я про ls), но мне это и не нужно. cat, grep, tail, sed файлы, в которых русские буквы, выводят и обрабатывают нормально.
Было бы желание, административные шаблоны переносятся простым копированием, настройки безопасности — через шаблоны.
Дефолтный период синхронизации в Windows, насколько я помню, не то раз в сутки, не то раз в неделю.
Либо у Вас ОЧЕНЬ большая локалка — так что в каждый момент кто-то синхронизируется, либо вам всё-таки стоит проверяться на вирусы.
Да и в версию «NTP-трафик забивает весь канал» верится с трудом.
Либо у Вас ОЧЕНЬ большая локалка — так что в каждый момент кто-то синхронизируется, либо вам всё-таки стоит проверяться на вирусы.
Да и в версию «NTP-трафик забивает весь канал» верится с трудом.
Трафик забивала 1 тачка. %Хабраюзер%, когда ты будешь дочитывать публикации до конца?
Верить или нет это дело каждого :)
Машину я проверял, как и описал в статье, при этом 4-я разными антивирями, к тому же с LiveCD. К тому же юзерам закрыто все и вся, они даже никакую стороннюю прогу не могу запустить. Лично я уверен, что вирусов там нет.
Снифинг трафика, также подтверждает, что трафик именно NTP. С момент отключения синхронизации времени на той машины, подобный трафик больше не появлялся.
Машину я проверял, как и описал в статье, при этом 4-я разными антивирями, к тому же с LiveCD. К тому же юзерам закрыто все и вся, они даже никакую стороннюю прогу не могу запустить. Лично я уверен, что вирусов там нет.
Снифинг трафика, также подтверждает, что трафик именно NTP. С момент отключения синхронизации времени на той машины, подобный трафик больше не появлялся.
Что происходило понятно, а вот почему оно происходило?
Почему одна машина непрерывно слала исходящие пакеты на сервер службы времени?
Даже если тот был недоступен, что-то странное в такой долбёжке.
Сам не админ, пытаюсь осознать на бытовом уровне.
Почему одна машина непрерывно слала исходящие пакеты на сервер службы времени?
Даже если тот был недоступен, что-то странное в такой долбёжке.
Сам не админ, пытаюсь осознать на бытовом уровне.
На других компах эта служба отключена. Почему постоянно не знаю, ибо не разбирался, а просто вырубил службу (нет нормальной возможности там поковыряться, это же, считайте, касса). Сервер времени был доступен и ответы от него шли.
Вероятно, из-за специфики работы службы NTP:
сперва она синхронизируется довольно часто (минимальное значение задается, если нужно, в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MinPollInterval ). Потом, по мере стабилизации времени интервалы между синхронизацией увеличиваются (максимальный интервал задается в той же ветке, ключ MaxPollInterval). Видно, на конкретной машине служба NTP никак не могла выйти на «стабильный» режим.
В любом случае, если уже поднят в сети DHCP, то с его помощью в три клика можно распространить и предпочтительный (-е) сервер (-а) времени (конечно, лучше локальный (-е)).
з.ы. панику и злобу на ОС считаю излишней, пост минусанул.
сперва она синхронизируется довольно часто (минимальное значение задается, если нужно, в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MinPollInterval ). Потом, по мере стабилизации времени интервалы между синхронизацией увеличиваются (максимальный интервал задается в той же ветке, ключ MaxPollInterval). Видно, на конкретной машине служба NTP никак не могла выйти на «стабильный» режим.
В любом случае, если уже поднят в сети DHCP, то с его помощью в три клика можно распространить и предпочтительный (-е) сервер (-а) времени (конечно, лучше локальный (-е)).
з.ы. панику и злобу на ОС считаю излишней, пост минусанул.
NTP трафик одной машины забил весь канал? оО это как?
Я себе не то что несколько мегабит, я даже модемный то канал (56К) не представляю как забить NTP трафиком.
Я себе не то что несколько мегабит, я даже модемный то канал (56К) не представляю как забить NTP трафиком.
Да, я тоже себе не мог представить как такое возможно. Но вот когда это случилось, тогда понял, что это возможно. То, что это NTP-трафик сомнений нет.
А можете хоть скриншот показать обьема трафика по времени что это действительно NTP, который забил 1.5 мегабита?
К сожалению подтвердить не могу, ибо там нет такого в одном месте. В pfSense графики разбиты по разным местам.
К тому же выше люди отписывались, что подобное у них было.
Вот, единственное, что можно показать:
К тому же выше люди отписывались, что подобное у них было.
Вот, единственное, что можно показать:
Сорри, нечаянно нажал не туда…
Тут видно, что 192.168.0.197 сожрал 55.4 метра UPD-трафика.
Тут видно, что 192.168.0.197 сожрал 55.4 метра UPD-трафика.
странная какая-то статистика, как может быть, что Total Sent — 57M, из которых 55M — UDP и 23M — TCP
оч.извиняюсь. разобрался. для tcp и udp, видимо, указан траффик в обоих направлениях.
но тогда другой вопрос, почему Вас не смутило то, что 233 машина выкачивает 6 гигов?
но тогда другой вопрос, почему Вас не смутило то, что 233 машина выкачивает 6 гигов?
Но не видно что это NTP с 123 порта. Можно еще эти детали посмотреть?
У вас какой ширины исходящий канал?
1,5 Mbps. В сети постоянно 10 машин, иногда больше (некоторые с ноутами работают и не всегда в офисе находятся).
может время таки осилить полисинг/шейпинг что ли(?) вместо истерик о 23 мегах мелких udp на фоне собственноручных 6 гиг… эээмммм… сами знаете чего :)
Как раз за день до этого случая поднял pfSense и просто не успел настроить его (переезд офиса и т.п.). До этого тоже был pfSense, но тот винт полетел по старости (а вот про бэкап конфигов как-то забыл :( ).
может выбросить готовые решения, поставить нормальную фрю и осилить наконец за 10 секунд намалевать три пайпа в ipfw?
Конечно же в том что вы «не успели» вовремя сделать то что требуется от админа по минимуму (молчу про бекапы) тоже вина винды? :)
Конечно же в том что вы «не успели» вовремя сделать то что требуется от админа по минимуму (молчу про бекапы) тоже вина винды? :)
А чем pfSense хуже? Подключить порты, поставить пакеты и т.п. там тоже можно.
А где я винил винду? Я уже устал пояснять, что ее я не виню, просто досадный такой случай вышел, вот и все.
В моем случае вы бы тоже не успели, поверьте уж.
Бэкапирование сетки настроено, а вот конфиги предыдущей инсталляции шлюза забыл забэкапить.
А где я винил винду? Я уже устал пояснять, что ее я не виню, просто досадный такой случай вышел, вот и все.
В моем случае вы бы тоже не успели, поверьте уж.
Бэкапирование сетки настроено, а вот конфиги предыдущей инсталляции шлюза забыл забэкапить.
>>А чем pfSense хуже? Подключить порты, поставить пакеты и т.п. там тоже можно.
pfsense ничем не хуже. Он «изкоробочный». Ну да — на нем при большом желании можно и ядро перебрать как хочется, и ipfw nat изобразить, а еще можно и bgp бордер на нем держать и даже при изрядной доле терпения обновить систему. Только вот зачем прилагать для этого какие-то жуткие усилия? Покрасноглазить?
>>А где я винил винду?
«оконная пакость» как бы намекает™
>>В моем случае вы бы тоже не успели, поверьте уж.
извините — у меня чуть задачи иные но елементарные и критические вещи успеваю я всегда.
Не волнуйтесь — 10 лет назад я тоже таким(не успел/опоздал/кто-то виноват) был. Это быстро проходит.
pfsense ничем не хуже. Он «изкоробочный». Ну да — на нем при большом желании можно и ядро перебрать как хочется, и ipfw nat изобразить, а еще можно и bgp бордер на нем держать и даже при изрядной доле терпения обновить систему. Только вот зачем прилагать для этого какие-то жуткие усилия? Покрасноглазить?
>>А где я винил винду?
«оконная пакость» как бы намекает™
>>В моем случае вы бы тоже не успели, поверьте уж.
извините — у меня чуть задачи иные но елементарные и критические вещи успеваю я всегда.
Не волнуйтесь — 10 лет назад я тоже таким(не успел/опоздал/кто-то виноват) был. Это быстро проходит.
«Запустил сканирование антивирем… Просканировал еще двумя.»©
это у Вас на машине 3 антивируса стоит? или вы их скачивали/устанавливали/удаляли?
это у Вас на машине 3 антивируса стоит? или вы их скачивали/устанавливали/удаляли?
может проще до этих ДНС адресов сделать ограничение по скорости? зачем же сразу отключать?
Немного не по теме. Что такое akadns.net, очень много где видел. Попытки зайти на akadns.net ничего не дают.
Видел уже у многих крупных компаний упоминание о akadns.net в т.ч. microsoft, apple, yahoo. Правда в основном используется для служебных вещей.
Видел уже у многих крупных компаний упоминание о akadns.net в т.ч. microsoft, apple, yahoo. Правда в основном используется для служебных вещей.
А перезагружать не пробовали?
Большущее спасибо за наводку на pfSense
нустройтесь на что нить типа ru.pool.ntp.org
а вообще SP2 очень давно пора уже и обновить.
а вообще SP2 очень давно пора уже и обновить.
страшно представить что будет с автором поста если он когда-то заметит нечто типа
ntpdate_enable=«YES»
ntpdate_flags…
в rc.conf — трагедия же. «Терабайты» мелкопакетного трафика, дикий рост pps… караул(!) И конечно же будет «виновата» фря :)
ntpdate_enable=«YES»
ntpdate_flags…
в rc.conf — трагедия же. «Терабайты» мелкопакетного трафика, дикий рост pps… караул(!) И конечно же будет «виновата» фря :)
Вы, должно быть, не заметили, но у автора «очень хорошая и правильная» венда забили своим «время от времени синхронизировать» весь исходящий канал. Зачем она это сделала? Да потому, что «стабильная», конечно!
ЗЫ. вендовые эникейщики тупы до невозможности… :(
ЗЫ. вендовые эникейщики тупы до невозможности… :(
1. раньше он с NTP-трафиком не сталкивался
раньше он с NTP-трафиком не сталкивалсяСталкивался, но чтобы такое… Еще не было. Поэтому даже и мыли не было, что это NTP-трафик и служба времени такое творят.
Подиагностил он «выдергиванием провода из свича»Это не диагностика, а, так сказать, проверка чтоли. Просто вначале хотел отрубить его от сети вовсе, чтобы пойти и на месте разобраться. А потом подумал: «Дай-ка обратно воткнул, может просто лаг какой...» (подобное было у меня на практике, но давно и подробностей уже не помню).
А свой NTP-сервер поднимать не пробовали? Хоть на том же шлюзе. Помогает. И время на всех компьютерах точное.
Тогда не был поднять по этой причине, щас уже настроен.
Вот забросали человека. Опыт — это не так уж и маловажно :)
Да тут половина родилась со знанием ассемблера и за первый год развития осилила все существующие и будущие ОС, равно как и стеки протоколов.
Критиковать легко, особенно если знаком с темой.
Нужно ли, вот в чем вопрос? Ведь в подобной критике нет пользы. Тогда зачем? Порисоваться?
Всю ту же инфу (которая есть в некоторых каментах) можно было донести простым, понятным и необидным способом.
Критиковать легко, особенно если знаком с темой.
Нужно ли, вот в чем вопрос? Ведь в подобной критике нет пользы. Тогда зачем? Порисоваться?
Всю ту же инфу (которая есть в некоторых каментах) можно было донести простым, понятным и необидным способом.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
История одного «инцидента» или оконная пакость