Comments 107
А я давно говорил, что Win идет с предустановленным ботнет-агентом.
+8
И не одним.
Лично я не редко просто отрубаю ВСЕ сервисы (кроме основных без которых даже SafeMode не работал бы) а потом включаю только самое необходимое.
Само собой это совет из разряда «для себя». Чужим людям делать так не пытаюсь, мало ли они какой «специфичный» софт юзают. (Который какие-нибудь неожиданные сервисы требует.)
Лично я не редко просто отрубаю ВСЕ сервисы (кроме основных без которых даже SafeMode не работал бы) а потом включаю только самое необходимое.
Само собой это совет из разряда «для себя». Чужим людям делать так не пытаюсь, мало ли они какой «специфичный» софт юзают. (Который какие-нибудь неожиданные сервисы требует.)
+1
Windows XP Home Edition with SP2
По идее, для висты это тоже актуально: сегодня с утра посмотрел логи на шлюзе и заметил, что с ноута генерального 15 метров UDP трафика за вчерашний вечер набежало, хотя шквала не было. Вчера в это время меня не было в офисе, а сегодня с утра еще генерального не было, поэтому пока не проверил.
По идее, для висты это тоже актуально: сегодня с утра посмотрел логи на шлюзе и заметил, что с ноута генерального 15 метров UDP трафика за вчерашний вечер набежало, хотя шквала не было. Вчера в это время меня не было в офисе, а сегодня с утра еще генерального не было, поэтому пока не проверил.
-2
Вы все еще сидите без аптейтов? Трояны уже идут к вам.
+14
Несколько лет назад наблюдал именно такую ситуацию на 20% компьютерах в офисе моего знакомого, который попросил помочь ему найти проблему, так как их штатный сисадмин чуть что сразу рвался переустанавливать винду ) Не знаю как на SP3, но на SP2 это частый прикол. А запаниковал знакомый потому, что компания юзала ИП телефонию и канал был 5/2, в итоге 2 мегабита аплоуда были забиты по самый потолок и не было слышно в телефоне ничего что говорили клиенты )
0
UFO just landed and posted this here
Если компьютер с Windows XP в домене и его время сильно различается с временем на контроллере домена (например, на месяц, точную границу не знаю), то в этот компьютер нельзя будет войти под доменным пользователем.
С описанной проблемой не встречался. Может проблемы не будет, если настроить локальный NTP сервер и обновлять время с него?
С описанной проблемой не встречался. Может проблемы не будет, если настроить локальный NTP сервер и обновлять время с него?
0
если время сильно различается с временем домена, выдергиваем патчкорд из компьютера и входим под доменным пользователем, настраиваем время и втыкаем шнур.
0
Как правило, максимально допустимое рассогласование около пяти минут — его можно задавать в настройках службы Kerberos. И да, правильно будет синхронизироваться с локальным сервером.
+2
Домена тут нет, как и АД; тут всего-то 15 машин.
Локальный NTP как раз сегодня поднял, посмотрим что будет.
Локальный NTP как раз сегодня поднял, посмотрим что будет.
+1
А что такое «т.ж.»? Что-то я плохо воспринимаю текст с таким большим количеством одного и того-же сокращения, которое мне непонятно…
+4
Так же? Я, честно говоря, долго думал, пока догадался )
+3
В контексте этого текста «также» вроде должно писатся слитно, разве нет? Соответственно у меня тоже была такая же мысль, но раздельное написание через точку сбило с толку…
+1
суровый админский сленг.
это, так же, расшифровывается как «Технически — Жопа», но не для этого контекста, естественно… :)
это, так же, расшифровывается как «Технически — Жопа», но не для этого контекста, естественно… :)
+11
Не заметил «т.ж.», мозг сам разархивировал видимо
+1
т.ж. == так же = также…
Извиняюсь, больше не буду. Привычка сокращать всякие «так же», «так как», «то есть» и тому подобное :)
Извиняюсь, больше не буду. Привычка сокращать всякие «так же», «так как», «то есть» и тому подобное :)
0
Да почему же, продолжайте :)
Просто устоявшаяся форма сокращения «также» это «тж.», а не «т.ж.»
См. тж. sokr.ru/%D1%82%D0%B6./
Просто устоявшаяся форма сокращения «также» это «тж.», а не «т.ж.»
См. тж. sokr.ru/%D1%82%D0%B6./
+1
у вас одноранговая сетка что ли?
в доменной среде рабочие станции синхронизируются с домен-контроллером, а не странными сервисами
в доменной среде рабочие станции синхронизируются с домен-контроллером, а не странными сервисами
+1
XP Home вроде как ввод в домен не поддерживает, разве нет?
+2
у них вообще там «Windows XP Home Edition with SP2» (с) habrahabr.ru/blogs/infosecurity/90263/#comment_2715454
которая, насколько мне помнится, вообще не умеет вступать в домен.
которая, насколько мне помнится, вообще не умеет вступать в домен.
0
Да, у меня тут просто рабочая группа. Всего-то тут 15 компов.
0
да даже 15 компов без групповой политики рулить как-то тяжко
или это я зажрался? :)
или это я зажрался? :)
0
Похоже, второе ;)
Мне тут не плохо помогают ssh сервер под винду и UnxTools :)
Мне тут не плохо помогают ssh сервер под винду и UnxTools :)
0
который ssh сервер Вы ставите?
0
freeSSHd
0
а как его подружить с русским и прикрутить нормальный шелл?
0
Извините, попутал немного… freeSSHd использовал раньше. Там действительно проблемы с шелом и русским, тогда я юзал просто набор утилит из UnxTools.
Сейчас использую CopSSH. Там уже сразу идет минимум необходимых утилит и bash. Правда русские имена файлов идут либо вопросами, либо крякозяблами (я про ls), но мне это и не нужно. cat, grep, tail, sed файлы, в которых русские буквы, выводят и обрабатывают нормально.
Сейчас использую CopSSH. Там уже сразу идет минимум необходимых утилит и bash. Правда русские имена файлов идут либо вопросами, либо крякозяблами (я про ls), но мне это и не нужно. cat, grep, tail, sed файлы, в которых русские буквы, выводят и обрабатывают нормально.
0
Было бы желание, административные шаблоны переносятся простым копированием, настройки безопасности — через шаблоны.
0
Дефолтный период синхронизации в Windows, насколько я помню, не то раз в сутки, не то раз в неделю.
Либо у Вас ОЧЕНЬ большая локалка — так что в каждый момент кто-то синхронизируется, либо вам всё-таки стоит проверяться на вирусы.
Да и в версию «NTP-трафик забивает весь канал» верится с трудом.
Либо у Вас ОЧЕНЬ большая локалка — так что в каждый момент кто-то синхронизируется, либо вам всё-таки стоит проверяться на вирусы.
Да и в версию «NTP-трафик забивает весь канал» верится с трудом.
-7
Трафик забивала 1 тачка. %Хабраюзер%, когда ты будешь дочитывать публикации до конца?
+4
Верить или нет это дело каждого :)
Машину я проверял, как и описал в статье, при этом 4-я разными антивирями, к тому же с LiveCD. К тому же юзерам закрыто все и вся, они даже никакую стороннюю прогу не могу запустить. Лично я уверен, что вирусов там нет.
Снифинг трафика, также подтверждает, что трафик именно NTP. С момент отключения синхронизации времени на той машины, подобный трафик больше не появлялся.
Машину я проверял, как и описал в статье, при этом 4-я разными антивирями, к тому же с LiveCD. К тому же юзерам закрыто все и вся, они даже никакую стороннюю прогу не могу запустить. Лично я уверен, что вирусов там нет.
Снифинг трафика, также подтверждает, что трафик именно NTP. С момент отключения синхронизации времени на той машины, подобный трафик больше не появлялся.
0
Что происходило понятно, а вот почему оно происходило?
Почему одна машина непрерывно слала исходящие пакеты на сервер службы времени?
Даже если тот был недоступен, что-то странное в такой долбёжке.
Сам не админ, пытаюсь осознать на бытовом уровне.
Почему одна машина непрерывно слала исходящие пакеты на сервер службы времени?
Даже если тот был недоступен, что-то странное в такой долбёжке.
Сам не админ, пытаюсь осознать на бытовом уровне.
0
На других компах эта служба отключена. Почему постоянно не знаю, ибо не разбирался, а просто вырубил службу (нет нормальной возможности там поковыряться, это же, считайте, касса). Сервер времени был доступен и ответы от него шли.
0
UFO just landed and posted this here
Вероятно, из-за специфики работы службы NTP:
сперва она синхронизируется довольно часто (минимальное значение задается, если нужно, в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MinPollInterval ). Потом, по мере стабилизации времени интервалы между синхронизацией увеличиваются (максимальный интервал задается в той же ветке, ключ MaxPollInterval). Видно, на конкретной машине служба NTP никак не могла выйти на «стабильный» режим.
В любом случае, если уже поднят в сети DHCP, то с его помощью в три клика можно распространить и предпочтительный (-е) сервер (-а) времени (конечно, лучше локальный (-е)).
з.ы. панику и злобу на ОС считаю излишней, пост минусанул.
сперва она синхронизируется довольно часто (минимальное значение задается, если нужно, в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MinPollInterval ). Потом, по мере стабилизации времени интервалы между синхронизацией увеличиваются (максимальный интервал задается в той же ветке, ключ MaxPollInterval). Видно, на конкретной машине служба NTP никак не могла выйти на «стабильный» режим.
В любом случае, если уже поднят в сети DHCP, то с его помощью в три клика можно распространить и предпочтительный (-е) сервер (-а) времени (конечно, лучше локальный (-е)).
з.ы. панику и злобу на ОС считаю излишней, пост минусанул.
0
NTP трафик одной машины забил весь канал? оО это как?
Я себе не то что несколько мегабит, я даже модемный то канал (56К) не представляю как забить NTP трафиком.
Я себе не то что несколько мегабит, я даже модемный то канал (56К) не представляю как забить NTP трафиком.
+2
Да, я тоже себе не мог представить как такое возможно. Но вот когда это случилось, тогда понял, что это возможно. То, что это NTP-трафик сомнений нет.
0
А можете хоть скриншот показать обьема трафика по времени что это действительно NTP, который забил 1.5 мегабита?
0
К сожалению подтвердить не могу, ибо там нет такого в одном месте. В pfSense графики разбиты по разным местам.
К тому же выше люди отписывались, что подобное у них было.
Вот, единственное, что можно показать:
К тому же выше люди отписывались, что подобное у них было.
Вот, единственное, что можно показать:
0
Сорри, нечаянно нажал не туда…
Тут видно, что 192.168.0.197 сожрал 55.4 метра UPD-трафика.
Тут видно, что 192.168.0.197 сожрал 55.4 метра UPD-трафика.
0
странная какая-то статистика, как может быть, что Total Sent — 57M, из которых 55M — UDP и 23M — TCP
0
оч.извиняюсь. разобрался. для tcp и udp, видимо, указан траффик в обоих направлениях.
но тогда другой вопрос, почему Вас не смутило то, что 233 машина выкачивает 6 гигов?
но тогда другой вопрос, почему Вас не смутило то, что 233 машина выкачивает 6 гигов?
+1
Но не видно что это NTP с 123 порта. Можно еще эти детали посмотреть?
0
У вас какой ширины исходящий канал?
0
1,5 Mbps. В сети постоянно 10 машин, иногда больше (некоторые с ноутами работают и не всегда в офисе находятся).
0
может время таки осилить полисинг/шейпинг что ли(?) вместо истерик о 23 мегах мелких udp на фоне собственноручных 6 гиг… эээмммм… сами знаете чего :)
0
Как раз за день до этого случая поднял pfSense и просто не успел настроить его (переезд офиса и т.п.). До этого тоже был pfSense, но тот винт полетел по старости (а вот про бэкап конфигов как-то забыл :( ).
0
может выбросить готовые решения, поставить нормальную фрю и осилить наконец за 10 секунд намалевать три пайпа в ipfw?
Конечно же в том что вы «не успели» вовремя сделать то что требуется от админа по минимуму (молчу про бекапы) тоже вина винды? :)
Конечно же в том что вы «не успели» вовремя сделать то что требуется от админа по минимуму (молчу про бекапы) тоже вина винды? :)
0
А чем pfSense хуже? Подключить порты, поставить пакеты и т.п. там тоже можно.
А где я винил винду? Я уже устал пояснять, что ее я не виню, просто досадный такой случай вышел, вот и все.
В моем случае вы бы тоже не успели, поверьте уж.
Бэкапирование сетки настроено, а вот конфиги предыдущей инсталляции шлюза забыл забэкапить.
А где я винил винду? Я уже устал пояснять, что ее я не виню, просто досадный такой случай вышел, вот и все.
В моем случае вы бы тоже не успели, поверьте уж.
Бэкапирование сетки настроено, а вот конфиги предыдущей инсталляции шлюза забыл забэкапить.
0
>>А чем pfSense хуже? Подключить порты, поставить пакеты и т.п. там тоже можно.
pfsense ничем не хуже. Он «изкоробочный». Ну да — на нем при большом желании можно и ядро перебрать как хочется, и ipfw nat изобразить, а еще можно и bgp бордер на нем держать и даже при изрядной доле терпения обновить систему. Только вот зачем прилагать для этого какие-то жуткие усилия? Покрасноглазить?
>>А где я винил винду?
«оконная пакость» как бы намекает™
>>В моем случае вы бы тоже не успели, поверьте уж.
извините — у меня чуть задачи иные но елементарные и критические вещи успеваю я всегда.
Не волнуйтесь — 10 лет назад я тоже таким(не успел/опоздал/кто-то виноват) был. Это быстро проходит.
pfsense ничем не хуже. Он «изкоробочный». Ну да — на нем при большом желании можно и ядро перебрать как хочется, и ipfw nat изобразить, а еще можно и bgp бордер на нем держать и даже при изрядной доле терпения обновить систему. Только вот зачем прилагать для этого какие-то жуткие усилия? Покрасноглазить?
>>А где я винил винду?
«оконная пакость» как бы намекает™
>>В моем случае вы бы тоже не успели, поверьте уж.
извините — у меня чуть задачи иные но елементарные и критические вещи успеваю я всегда.
Не волнуйтесь — 10 лет назад я тоже таким(не успел/опоздал/кто-то виноват) был. Это быстро проходит.
0
UFO just landed and posted this here
«Запустил сканирование антивирем… Просканировал еще двумя.»©
это у Вас на машине 3 антивируса стоит? или вы их скачивали/устанавливали/удаляли?
это у Вас на машине 3 антивируса стоит? или вы их скачивали/устанавливали/удаляли?
0
может проще до этих ДНС адресов сделать ограничение по скорости? зачем же сразу отключать?
0
Немного не по теме. Что такое akadns.net, очень много где видел. Попытки зайти на akadns.net ничего не дают.
Видел уже у многих крупных компаний упоминание о akadns.net в т.ч. microsoft, apple, yahoo. Правда в основном используется для служебных вещей.
Видел уже у многих крупных компаний упоминание о akadns.net в т.ч. microsoft, apple, yahoo. Правда в основном используется для служебных вещей.
0
А перезагружать не пробовали?
0
Большущее спасибо за наводку на pfSense
0
UFO just landed and posted this here
нустройтесь на что нить типа ru.pool.ntp.org
а вообще SP2 очень давно пора уже и обновить.
а вообще SP2 очень давно пора уже и обновить.
+1
UFO just landed and posted this here
страшно представить что будет с автором поста если он когда-то заметит нечто типа
ntpdate_enable=«YES»
ntpdate_flags…
в rc.conf — трагедия же. «Терабайты» мелкопакетного трафика, дикий рост pps… караул(!) И конечно же будет «виновата» фря :)
ntpdate_enable=«YES»
ntpdate_flags…
в rc.conf — трагедия же. «Терабайты» мелкопакетного трафика, дикий рост pps… караул(!) И конечно же будет «виновата» фря :)
-1
Вы, должно быть, не заметили, но у автора «очень хорошая и правильная» венда забили своим «время от времени синхронизировать» весь исходящий канал. Зачем она это сделала? Да потому, что «стабильная», конечно!
ЗЫ. вендовые эникейщики тупы до невозможности… :(
ЗЫ. вендовые эникейщики тупы до невозможности… :(
0
1. раньше он с NTP-трафиком не сталкивался
-1
раньше он с NTP-трафиком не сталкивалсяСталкивался, но чтобы такое… Еще не было. Поэтому даже и мыли не было, что это NTP-трафик и служба времени такое творят.
Подиагностил он «выдергиванием провода из свича»Это не диагностика, а, так сказать, проверка чтоли. Просто вначале хотел отрубить его от сети вовсе, чтобы пойти и на месте разобраться. А потом подумал: «Дай-ка обратно воткнул, может просто лаг какой...» (подобное было у меня на практике, но давно и подробностей уже не помню).
-1
А свой NTP-сервер поднимать не пробовали? Хоть на том же шлюзе. Помогает. И время на всех компьютерах точное.
+1
Тогда не был поднять по этой причине, щас уже настроен.
0
Вот забросали человека. Опыт — это не так уж и маловажно :)
+2
Да тут половина родилась со знанием ассемблера и за первый год развития осилила все существующие и будущие ОС, равно как и стеки протоколов.
Критиковать легко, особенно если знаком с темой.
Нужно ли, вот в чем вопрос? Ведь в подобной критике нет пользы. Тогда зачем? Порисоваться?
Всю ту же инфу (которая есть в некоторых каментах) можно было донести простым, понятным и необидным способом.
Критиковать легко, особенно если знаком с темой.
Нужно ли, вот в чем вопрос? Ведь в подобной критике нет пользы. Тогда зачем? Порисоваться?
Всю ту же инфу (которая есть в некоторых каментах) можно было донести простым, понятным и необидным способом.
+2
Sign up to leave a comment.
История одного «инцидента» или оконная пакость