Pull to refresh

Comments 107

А я давно говорил, что Win идет с предустановленным ботнет-агентом.
И не одним.

Лично я не редко просто отрубаю ВСЕ сервисы (кроме основных без которых даже SafeMode не работал бы) а потом включаю только самое необходимое.
Само собой это совет из разряда «для себя». Чужим людям делать так не пытаюсь, мало ли они какой «специфичный» софт юзают. (Который какие-нибудь неожиданные сервисы требует.)
Windows XP Home Edition with SP2

По идее, для висты это тоже актуально: сегодня с утра посмотрел логи на шлюзе и заметил, что с ноута генерального 15 метров UDP трафика за вчерашний вечер набежало, хотя шквала не было. Вчера в это время меня не было в офисе, а сегодня с утра еще генерального не было, поэтому пока не проверил.
Вы все еще сидите без аптейтов? Трояны уже идут к вам.
Да там это особо и не надо… Юзерам закрыто все и вся, они даже никакую стороннюю прогу не могу запустить. Я даже прифигел, когда трафик от этого компа увидел. К тому же там особо не проапгрейдишь, т.к. клиенты постоянно, а комп этот, как бы, касса.
а если баг пофиксили уже?
тогда Ваш дым без огня, получается.
Хм… Что-то не припомню, чтобы были фиксы касательно это службы.

Ну, а все критически важные обновления конечно же стоят.
Несколько лет назад наблюдал именно такую ситуацию на 20% компьютерах в офисе моего знакомого, который попросил помочь ему найти проблему, так как их штатный сисадмин чуть что сразу рвался переустанавливать винду ) Не знаю как на SP3, но на SP2 это частый прикол. А запаниковал знакомый потому, что компания юзала ИП телефонию и канал был 5/2, в итоге 2 мегабита аплоуда были забиты по самый потолок и не было слышно в телефоне ничего что говорили клиенты )
UFO just landed and posted this here
Трафик был порядка 45 метров. Выключил, если не считать пока 4 раза антивири сканили, минут за 10, не больше.
Если компьютер с Windows XP в домене и его время сильно различается с временем на контроллере домена (например, на месяц, точную границу не знаю), то в этот компьютер нельзя будет войти под доменным пользователем.
С описанной проблемой не встречался. Может проблемы не будет, если настроить локальный NTP сервер и обновлять время с него?
если время сильно различается с временем домена, выдергиваем патчкорд из компьютера и входим под доменным пользователем, настраиваем время и втыкаем шнур.
Это если не прописано в доменных политиках, что для входа нужен доступ к контроллеру домена. А так можно даже патчкорд не выдергивать и зайти под локальным администратором.
а можно, тупо, в биосе подвести время
Как правило, максимально допустимое рассогласование около пяти минут — его можно задавать в настройках службы Kerberos. И да, правильно будет синхронизироваться с локальным сервером.
Домена тут нет, как и АД; тут всего-то 15 машин.
Локальный NTP как раз сегодня поднял, посмотрим что будет.
А что такое «т.ж.»? Что-то я плохо воспринимаю текст с таким большим количеством одного и того-же сокращения, которое мне непонятно…
Так же? Я, честно говоря, долго думал, пока догадался )
В контексте этого текста «также» вроде должно писатся слитно, разве нет? Соответственно у меня тоже была такая же мысль, но раздельное написание через точку сбило с толку…
Кстати да, Вы правы, это меня и в ступор и загнало — также ≠ т. ж., однозначно. :)
суровый админский сленг.
это, так же, расшифровывается как «Технически — Жопа», но не для этого контекста, естественно… :)
Действительно, сурово: 5 символов в понятном слове «также» сокращать до четырех в непонятной «технической жопе» :)
Не заметил «т.ж.», мозг сам разархивировал видимо
т.ж. == так же = также…
Извиняюсь, больше не буду. Привычка сокращать всякие «так же», «так как», «то есть» и тому подобное :)
Да почему же, продолжайте :)
Просто устоявшаяся форма сокращения «также» это «тж.», а не «т.ж.»
См. тж. sokr.ru/%D1%82%D0%B6./
Не верьте, над тж. я бы тормозил заметно дольше, чем над т.ж.
у вас одноранговая сетка что ли?
в доменной среде рабочие станции синхронизируются с домен-контроллером, а не странными сервисами
XP Home вроде как ввод в домен не поддерживает, разве нет?
Вообще говоря, нет. Но можно поправить пару ключиков в реестре и Home превращается… превращается… в элегантный Proffesional. Сам так делал, когда нужно было заставить работать Home в домене.
Это уже будет нарушением лицензии. А я к лицензионной чистоте отношусь очень строго.
Лицензия не запрещает вам править ваш реестр как вы считаете нужным.
правильно помниться — дома доменов не строят, потому хомяки в них и не входят
Да, у меня тут просто рабочая группа. Всего-то тут 15 компов.
да даже 15 компов без групповой политики рулить как-то тяжко
или это я зажрался? :)
Похоже, второе ;)
Мне тут не плохо помогают ssh сервер под винду и UnxTools :)
который ssh сервер Вы ставите?
а как его подружить с русским и прикрутить нормальный шелл?
Извините, попутал немного… freeSSHd использовал раньше. Там действительно проблемы с шелом и русским, тогда я юзал просто набор утилит из UnxTools.

Сейчас использую CopSSH. Там уже сразу идет минимум необходимых утилит и bash. Правда русские имена файлов идут либо вопросами, либо крякозяблами (я про ls), но мне это и не нужно. cat, grep, tail, sed файлы, в которых русские буквы, выводят и обрабатывают нормально.
Было бы желание, административные шаблоны переносятся простым копированием, настройки безопасности — через шаблоны.
Дефолтный период синхронизации в Windows, насколько я помню, не то раз в сутки, не то раз в неделю.
Либо у Вас ОЧЕНЬ большая локалка — так что в каждый момент кто-то синхронизируется, либо вам всё-таки стоит проверяться на вирусы.
Да и в версию «NTP-трафик забивает весь канал» верится с трудом.
Трафик забивала 1 тачка. %Хабраюзер%, когда ты будешь дочитывать публикации до конца?
Тогда я тем более рекомендую проверяться на вирусы.
И, да, про то что Вы проверялись, я тоже видел.
Но ты всё равно проверься, на всякий случай :)
Верить или нет это дело каждого :)
Машину я проверял, как и описал в статье, при этом 4-я разными антивирями, к тому же с LiveCD. К тому же юзерам закрыто все и вся, они даже никакую стороннюю прогу не могу запустить. Лично я уверен, что вирусов там нет.
Снифинг трафика, также подтверждает, что трафик именно NTP. С момент отключения синхронизации времени на той машины, подобный трафик больше не появлялся.
Что происходило понятно, а вот почему оно происходило?
Почему одна машина непрерывно слала исходящие пакеты на сервер службы времени?
Даже если тот был недоступен, что-то странное в такой долбёжке.

Сам не админ, пытаюсь осознать на бытовом уровне.
На других компах эта служба отключена. Почему постоянно не знаю, ибо не разбирался, а просто вырубил службу (нет нормальной возможности там поковыряться, это же, считайте, касса). Сервер времени был доступен и ответы от него шли.
UFO just landed and posted this here

Касса — это условное название. Там в браузере в вебприложении оформляли заказы и т.п., а время с сервера бралось. И какое время на компе ей пофиг (лишь бы не более часа или 6 часов разницы, не помню уже). Чеки выбивали на реальной кассе, которые с лотком для денег.

Вероятно, из-за специфики работы службы NTP:
сперва она синхронизируется довольно часто (минимальное значение задается, если нужно, в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MinPollInterval ). Потом, по мере стабилизации времени интервалы между синхронизацией увеличиваются (максимальный интервал задается в той же ветке, ключ MaxPollInterval). Видно, на конкретной машине служба NTP никак не могла выйти на «стабильный» режим.

В любом случае, если уже поднят в сети DHCP, то с его помощью в три клика можно распространить и предпочтительный (-е) сервер (-а) времени (конечно, лучше локальный (-е)).

з.ы. панику и злобу на ОС считаю излишней, пост минусанул.
Спасибо, что разъяснили. Я этого не знал, честно признаться.

На ОСь злобы нет :) Есть только досада, что она не показывает в netstat, что используется NTP. Да и в целом, у винды довольно скудные логи (по крайней мере в глазах линуксоида), имхо.
Управление компьютером/просмотр событий/система/
Фильтр W32time нет?
Да, знаю. Но, когда смотрел, ничего подозрительного не увидел.
Спасибо, познавательно.
NTP трафик одной машины забил весь канал? оО это как?
Я себе не то что несколько мегабит, я даже модемный то канал (56К) не представляю как забить NTP трафиком.
Да, я тоже себе не мог представить как такое возможно. Но вот когда это случилось, тогда понял, что это возможно. То, что это NTP-трафик сомнений нет.
А можете хоть скриншот показать обьема трафика по времени что это действительно NTP, который забил 1.5 мегабита?
К сожалению подтвердить не могу, ибо там нет такого в одном месте. В pfSense графики разбиты по разным местам.
К тому же выше люди отписывались, что подобное у них было.

Вот, единственное, что можно показать:

Сорри, нечаянно нажал не туда…


Тут видно, что 192.168.0.197 сожрал 55.4 метра UPD-трафика.
странная какая-то статистика, как может быть, что Total Sent — 57M, из которых 55M — UDP и 23M — TCP
На скрине в столбцах FTP, HTTP и P2P трафик показан в сумме, т.е. sent + received.
Ой, не дописал…

На скрине в столбцах FTP, HTTP, P2P, TCP, UDP и ICMP трафик показан в сумме, т.е. sent + received.
оч.извиняюсь. разобрался. для tcp и udp, видимо, указан траффик в обоих направлениях.

но тогда другой вопрос, почему Вас не смутило то, что 233 машина выкачивает 6 гигов?
Это моя машина :))
Трафик такой, т.к. на ту ночь была поставлена закачка :)
Но не видно что это NTP с 123 порта. Можно еще эти детали посмотреть?
Я же говорю, что нет такой возможности. Что это NTP и 123 порт я выяснил благодаря сниферу.
Вы не представляете как вы меня развеселили этим ответом.
Вы просто видать не видели pfSense…
1,5 Mbps. В сети постоянно 10 машин, иногда больше (некоторые с ноутами работают и не всегда в офисе находятся).
может время таки осилить полисинг/шейпинг что ли(?) вместо истерик о 23 мегах мелких udp на фоне собственноручных 6 гиг… эээмммм… сами знаете чего :)
Как раз за день до этого случая поднял pfSense и просто не успел настроить его (переезд офиса и т.п.). До этого тоже был pfSense, но тот винт полетел по старости (а вот про бэкап конфигов как-то забыл :( ).
может выбросить готовые решения, поставить нормальную фрю и осилить наконец за 10 секунд намалевать три пайпа в ipfw?

Конечно же в том что вы «не успели» вовремя сделать то что требуется от админа по минимуму (молчу про бекапы) тоже вина винды? :)
А чем pfSense хуже? Подключить порты, поставить пакеты и т.п. там тоже можно.

А где я винил винду? Я уже устал пояснять, что ее я не виню, просто досадный такой случай вышел, вот и все.

В моем случае вы бы тоже не успели, поверьте уж.

Бэкапирование сетки настроено, а вот конфиги предыдущей инсталляции шлюза забыл забэкапить.
>>А чем pfSense хуже? Подключить порты, поставить пакеты и т.п. там тоже можно.
pfsense ничем не хуже. Он «изкоробочный». Ну да — на нем при большом желании можно и ядро перебрать как хочется, и ipfw nat изобразить, а еще можно и bgp бордер на нем держать и даже при изрядной доле терпения обновить систему. Только вот зачем прилагать для этого какие-то жуткие усилия? Покрасноглазить?

>>А где я винил винду?
«оконная пакость» как бы намекает™

>>В моем случае вы бы тоже не успели, поверьте уж.
извините — у меня чуть задачи иные но елементарные и критические вещи успеваю я всегда.

Не волнуйтесь — 10 лет назад я тоже таким(не успел/опоздал/кто-то виноват) был. Это быстро проходит.
Про pfSense… Честно сказать, я не вижу тут «жутких усилий». Отчасти, это почти тоже самое, что поставить «голую» систему и потом ее донастраивать. Да и для этой маленькой сетки на 15 машин pfSense'а за глаза хватит :)

>> «оконная пакость» как бы намекает™
Эммм… В принципе да, соглашусь.
UFO just landed and posted this here
«Запустил сканирование антивирем… Просканировал еще двумя.»©

это у Вас на машине 3 антивируса стоит? или вы их скачивали/устанавливали/удаляли?
Да, именно скачивал и проверял теми, что не требуют установки (как пример, CureIT).
может проще до этих ДНС адресов сделать ограничение по скорости? зачем же сразу отключать?
А при чем тут DNS-сервера?
Отключил, чтобы ничего не передавали в сеть и не завалили опять канал.
Немного не по теме. Что такое akadns.net, очень много где видел. Попытки зайти на akadns.net ничего не дают.
Видел уже у многих крупных компаний упоминание о akadns.net в т.ч. microsoft, apple, yahoo. Правда в основном используется для служебных вещей.
Akamai Technologies — один из старейших CDN-провайдеров
В догонку…

$ host akadns.net
akadns.net mail is handled by 100 prod-mail-remail02.akamai.com.
akadns.net mail is handled by 100 prod-mail-remail01.akamai.com.
UFO just landed and posted this here
Пробовал. Ни то, ни другое не помогло.
Большущее спасибо за наводку на pfSense
UFO just landed and posted this here
нустройтесь на что нить типа ru.pool.ntp.org
а вообще SP2 очень давно пора уже и обновить.
Как уже говорил в комментах: машинку трогать ооочень не желательно, это, как бы, касса, и народ там постоянно работает. Поэтому ставлю только критические заплатки.
UFO just landed and posted this here
страшно представить что будет с автором поста если он когда-то заметит нечто типа
ntpdate_enable=«YES»
ntpdate_flags…

в rc.conf — трагедия же. «Терабайты» мелкопакетного трафика, дикий рост pps… караул(!) И конечно же будет «виновата» фря :)
Вы, должно быть, не заметили, но у автора «очень хорошая и правильная» венда забили своим «время от времени синхронизировать» весь исходящий канал. Зачем она это сделала? Да потому, что «стабильная», конечно!
ЗЫ. вендовые эникейщики тупы до невозможности… :(
1. раньше он с NTP-трафиком не сталкивался

раньше он с NTP-трафиком не сталкивался
Сталкивался, но чтобы такое… Еще не было. Поэтому даже и мыли не было, что это NTP-трафик и служба времени такое творят.



Подиагностил он «выдергиванием провода из свича»
Это не диагностика, а, так сказать, проверка чтоли. Просто вначале хотел отрубить его от сети вовсе, чтобы пойти и на месте разобраться. А потом подумал: «Дай-ка обратно воткнул, может просто лаг какой...» (подобное было у меня на практике, но давно и подробностей уже не помню).
А свой NTP-сервер поднимать не пробовали? Хоть на том же шлюзе. Помогает. И время на всех компьютерах точное.
Вот забросали человека. Опыт — это не так уж и маловажно :)
Да тут половина родилась со знанием ассемблера и за первый год развития осилила все существующие и будущие ОС, равно как и стеки протоколов.

Критиковать легко, особенно если знаком с темой.

Нужно ли, вот в чем вопрос? Ведь в подобной критике нет пользы. Тогда зачем? Порисоваться?

Всю ту же инфу (которая есть в некоторых каментах) можно было донести простым, понятным и необидным способом.
Дык донесли же. Мотивация немаловажный аспект — вам не кажется?
Sign up to leave a comment.

Articles