История одного «инцидента» или оконная пакость

[bondbig]

А я давно говорил, что Win идет с предустановленным ботнет-агентом.

[Vladson]

И не одним.

Лично я не редко просто отрубаю ВСЕ сервисы (кроме основных без которых даже SafeMode не работал бы) а потом включаю только самое необходимое.
Само собой это совет из разряда «для себя». Чужим людям делать так не пытаюсь, мало ли они какой «специфичный» софт юзают. (Который какие-нибудь неожиданные сервисы требует.)

[desterman]

Какая версия винды?! Нечто подобное наблюдал пару лет назад на Windows XP SP3.

[Angel2S2]

Windows XP Home Edition with SP2

По идее, для висты это тоже актуально: сегодня с утра посмотрел логи на шлюзе и заметил, что с ноута генерального 15 метров UDP трафика за вчерашний вечер набежало, хотя шквала не было. Вчера в это время меня не было в офисе, а сегодня с утра еще генерального не было, поэтому пока не проверил.

[Daemon_Hell]

Вы все еще сидите без аптейтов? Трояны уже идут к вам.

[Angel2S2]

Да там это особо и не надо… Юзерам закрыто все и вся, они даже никакую стороннюю прогу не могу запустить. Я даже прифигел, когда трафик от этого компа увидел. К тому же там особо не проапгрейдишь, т.к. клиенты постоянно, а комп этот, как бы, касса.

[ser_gun]

а если баг пофиксили уже?
тогда Ваш дым без огня, получается.

[Angel2S2]

Хм… Что-то не припомню, чтобы были фиксы касательно это службы.

Ну, а все критически важные обновления конечно же стоят.

[xldsakamrhahn]

Несколько лет назад наблюдал именно такую ситуацию на 20% компьютерах в офисе моего знакомого, который попросил помочь ему найти проблему, так как их штатный сисадмин чуть что сразу рвался переустанавливать винду ) Не знаю как на SP3, но на SP2 это частый прикол. А запаниковал знакомый потому, что компания юзала ИП телефонию и канал был 5/2, в итоге 2 мегабита аплоуда были забиты по самый потолок и не было слышно в телефоне ничего что говорили клиенты )

[Angel2S2]

Трафик был порядка 45 метров. Выключил, если не считать пока 4 раза антивири сканили, минут за 10, не больше.

[Myp]

Если компьютер с Windows XP в домене и его время сильно различается с временем на контроллере домена (например, на месяц, точную границу не знаю), то в этот компьютер нельзя будет войти под доменным пользователем.
С описанной проблемой не встречался. Может проблемы не будет, если настроить локальный NTP сервер и обновлять время с него?

[kawabunga]

если время сильно различается с временем домена, выдергиваем патчкорд из компьютера и входим под доменным пользователем, настраиваем время и втыкаем шнур.

[Myp]

Это если не прописано в доменных политиках, что для входа нужен доступ к контроллеру домена. А так можно даже патчкорд не выдергивать и зайти под локальным администратором.

[kabachok]

а можно, тупо, в биосе подвести время

[cyril]

Как правило, максимально допустимое рассогласование около пяти минут — его можно задавать в настройках службы Kerberos. И да, правильно будет синхронизироваться с локальным сервером.

[Angel2S2]

Домена тут нет, как и АД; тут всего-то 15 машин.
Локальный NTP как раз сегодня поднял, посмотрим что будет.

[Softovick]

А что такое «т.ж.»? Что-то я плохо воспринимаю текст с таким большим количеством одного и того-же сокращения, которое мне непонятно…

[dtf]

Так же? Я, честно говоря, долго думал, пока догадался )

[Softovick]

В контексте этого текста «также» вроде должно писатся слитно, разве нет? Соответственно у меня тоже была такая же мысль, но раздельное написание через точку сбило с толку…

[dtf]

Кстати да, Вы правы, это меня и в ступор и загнало — также ≠ т. ж., однозначно. :)

[nicothin]

суровый админский сленг.
это, так же, расшифровывается как «Технически — Жопа», но не для этого контекста, естественно… :)

[Nickel3000]

Действительно, сурово: 5 символов в понятном слове «также» сокращать до четырех в непонятной «технической жопе» :)

[ssve]

Не заметил «т.ж.», мозг сам разархивировал видимо

[Angel2S2]

т.ж. == так же = также…
Извиняюсь, больше не буду. Привычка сокращать всякие «так же», «так как», «то есть» и тому подобное :)

[123]

Да почему же, продолжайте :)
Просто устоявшаяся форма сокращения «также» это «тж.», а не «т.ж.»
См. тж. sokr.ru/%D1%82%D0%B6./

[Angel2S2]

А, вот как. Не знал, спасибо :)

[grep0]

Не верьте, над тж. я бы тормозил заметно дольше, чем над т.ж.

[unconnected]

у вас одноранговая сетка что ли?
в доменной среде рабочие станции синхронизируются с домен-контроллером, а не странными сервисами

[dimace]

XP Home вроде как ввод в домен не поддерживает, разве нет?

[ipod]

Вообще говоря, нет. Но можно поправить пару ключиков в реестре и Home превращается… превращается… в элегантный Proffesional. Сам так делал, когда нужно было заставить работать Home в домене.

[Angel2S2]

Это уже будет нарушением лицензии. А я к лицензионной чистоте отношусь очень строго.

[amdf]

Лицензия не запрещает вам править ваш реестр как вы считаете нужным.

[mdevils]

Здесь вы ошибаетесь.

[zerkms]

у них вообще там «Windows XP Home Edition with SP2» (с) habrahabr.ru/blogs/infosecurity/90263/#comment_2715454
которая, насколько мне помнится, вообще не умеет вступать в домен.

[unconnected]

правильно помниться — дома доменов не строят, потому хомяки в них и не входят

[Angel2S2]

Да, у меня тут просто рабочая группа. Всего-то тут 15 компов.

[unconnected]

да даже 15 компов без групповой политики рулить как-то тяжко
или это я зажрался? :)

[Angel2S2]

Похоже, второе ;)
Мне тут не плохо помогают ssh сервер под винду и UnxTools :)

[Guria]

который ssh сервер Вы ставите?

[Angel2S2]

freeSSHd

[Guria]

а как его подружить с русским и прикрутить нормальный шелл?

[Angel2S2]

Извините, попутал немного… freeSSHd использовал раньше. Там действительно проблемы с шелом и русским, тогда я юзал просто набор утилит из UnxTools.

Сейчас использую CopSSH. Там уже сразу идет минимум необходимых утилит и bash. Правда русские имена файлов идут либо вопросами, либо крякозяблами (я про ls), но мне это и не нужно. cat, grep, tail, sed файлы, в которых русские буквы, выводят и обрабатывают нормально.

[navion]

Было бы желание, административные шаблоны переносятся простым копированием, настройки безопасности — через шаблоны.

[torkve]

Дефолтный период синхронизации в Windows, насколько я помню, не то раз в сутки, не то раз в неделю.
Либо у Вас ОЧЕНЬ большая локалка — так что в каждый момент кто-то синхронизируется, либо вам всё-таки стоит проверяться на вирусы.
Да и в версию «NTP-трафик забивает весь канал» верится с трудом.

[zerkms]

Трафик забивала 1 тачка. %Хабраюзер%, когда ты будешь дочитывать публикации до конца?

[torkve]

Тогда я тем более рекомендую проверяться на вирусы.

[torkve]

И, да, про то что Вы проверялись, я тоже видел.

[zerkms]

А я тут вообще при чём? :-)

[Goodkat]

Но ты всё равно проверься, на всякий случай :)

[Angel2S2]

Верить или нет это дело каждого :)
Машину я проверял, как и описал в статье, при этом 4-я разными антивирями, к тому же с LiveCD. К тому же юзерам закрыто все и вся, они даже никакую стороннюю прогу не могу запустить. Лично я уверен, что вирусов там нет.
Снифинг трафика, также подтверждает, что трафик именно NTP. С момент отключения синхронизации времени на той машины, подобный трафик больше не появлялся.

[G_Z]

Что происходило понятно, а вот почему оно происходило?
Почему одна машина непрерывно слала исходящие пакеты на сервер службы времени?
Даже если тот был недоступен, что-то странное в такой долбёжке.

Сам не админ, пытаюсь осознать на бытовом уровне.

[Angel2S2]

На других компах эта служба отключена. Почему постоянно не знаю, ибо не разбирался, а просто вырубил службу (нет нормальной возможности там поковыряться, это же, считайте, касса). Сервер времени был доступен и ответы от него шли.

[Angel2S2]

Касса — это условное название. Там в браузере в вебприложении оформляли заказы и т.п., а время с сервера бралось. И какое время на компе ей пофиг (лишь бы не более часа или 6 часов разницы, не помню уже). Чеки выбивали на реальной кассе, которые с лотком для денег.

[DizelGenerator]

Вероятно, из-за специфики работы службы NTP:
сперва она синхронизируется довольно часто (минимальное значение задается, если нужно, в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MinPollInterval ). Потом, по мере стабилизации времени интервалы между синхронизацией увеличиваются (максимальный интервал задается в той же ветке, ключ MaxPollInterval). Видно, на конкретной машине служба NTP никак не могла выйти на «стабильный» режим.

В любом случае, если уже поднят в сети DHCP, то с его помощью в три клика можно распространить и предпочтительный (-е) сервер (-а) времени (конечно, лучше локальный (-е)).

з.ы. панику и злобу на ОС считаю излишней, пост минусанул.

[Angel2S2]

Спасибо, что разъяснили. Я этого не знал, честно признаться.

На ОСь злобы нет :) Есть только досада, что она не показывает в netstat, что используется NTP. Да и в целом, у винды довольно скудные логи (по крайней мере в глазах линуксоида), имхо.

[a97]

Управление компьютером/просмотр событий/система/
Фильтр W32time нет?

[Angel2S2]

Да, знаю. Но, когда смотрел, ничего подозрительного не увидел.

[G_Z]

Спасибо, познавательно.

[mephisto]

NTP трафик одной машины забил весь канал? оО это как?
Я себе не то что несколько мегабит, я даже модемный то канал (56К) не представляю как забить NTP трафиком.

[Angel2S2]

Да, я тоже себе не мог представить как такое возможно. Но вот когда это случилось, тогда понял, что это возможно. То, что это NTP-трафик сомнений нет.

[dmandreev]

А можете хоть скриншот показать обьема трафика по времени что это действительно NTP, который забил 1.5 мегабита?

[Angel2S2]

К сожалению подтвердить не могу, ибо там нет такого в одном месте. В pfSense графики разбиты по разным местам.
К тому же выше люди отписывались, что подобное у них было.

Вот, единственное, что можно показать:

[Angel2S2]

Сорри, нечаянно нажал не туда…


Тут видно, что 192.168.0.197 сожрал 55.4 метра UPD-трафика.

[gto]

странная какая-то статистика, как может быть, что Total Sent — 57M, из которых 55M — UDP и 23M — TCP

[Angel2S2]

На скрине в столбцах FTP, HTTP и P2P трафик показан в сумме, т.е. sent + received.

[Angel2S2]

Ой, не дописал…

На скрине в столбцах FTP, HTTP, P2P, TCP, UDP и ICMP трафик показан в сумме, т.е. sent + received.

[gto]

оч.извиняюсь. разобрался. для tcp и udp, видимо, указан траффик в обоих направлениях.

но тогда другой вопрос, почему Вас не смутило то, что 233 машина выкачивает 6 гигов?

[Angel2S2]

Это моя машина :))
Трафик такой, т.к. на ту ночь была поставлена закачка :)

[dmandreev]

Но не видно что это NTP с 123 порта. Можно еще эти детали посмотреть?

[Angel2S2]

Я же говорю, что нет такой возможности. Что это NTP и 123 порт я выяснил благодаря сниферу.

[dmandreev]

Вы не представляете как вы меня развеселили этим ответом.

[Angel2S2]

Вы просто видать не видели pfSense…

[dmandreev]

У вас какой ширины исходящий канал?

[Angel2S2]

1,5 Mbps. В сети постоянно 10 машин, иногда больше (некоторые с ноутами работают и не всегда в офисе находятся).

[nightfly]

может время таки осилить полисинг/шейпинг что ли(?) вместо истерик о 23 мегах мелких udp на фоне собственноручных 6 гиг… эээмммм… сами знаете чего :)

[Angel2S2]

Как раз за день до этого случая поднял pfSense и просто не успел настроить его (переезд офиса и т.п.). До этого тоже был pfSense, но тот винт полетел по старости (а вот про бэкап конфигов как-то забыл :( ).

[nightfly]

может выбросить готовые решения, поставить нормальную фрю и осилить наконец за 10 секунд намалевать три пайпа в ipfw?

Конечно же в том что вы «не успели» вовремя сделать то что требуется от админа по минимуму (молчу про бекапы) тоже вина винды? :)

[Angel2S2]

А чем pfSense хуже? Подключить порты, поставить пакеты и т.п. там тоже можно.

А где я винил винду? Я уже устал пояснять, что ее я не виню, просто досадный такой случай вышел, вот и все.

В моем случае вы бы тоже не успели, поверьте уж.

Бэкапирование сетки настроено, а вот конфиги предыдущей инсталляции шлюза забыл забэкапить.

[nightfly]

>>А чем pfSense хуже? Подключить порты, поставить пакеты и т.п. там тоже можно.
pfsense ничем не хуже. Он «изкоробочный». Ну да — на нем при большом желании можно и ядро перебрать как хочется, и ipfw nat изобразить, а еще можно и bgp бордер на нем держать и даже при изрядной доле терпения обновить систему. Только вот зачем прилагать для этого какие-то жуткие усилия? Покрасноглазить?

>>А где я винил винду?
«оконная пакость» как бы намекает™

>>В моем случае вы бы тоже не успели, поверьте уж.
извините — у меня чуть задачи иные но елементарные и критические вещи успеваю я всегда.

Не волнуйтесь — 10 лет назад я тоже таким(не успел/опоздал/кто-то виноват) был. Это быстро проходит.

[Angel2S2]

Про pfSense… Честно сказать, я не вижу тут «жутких усилий». Отчасти, это почти тоже самое, что поставить «голую» систему и потом ее донастраивать. Да и для этой маленькой сетки на 15 машин pfSense'а за глаза хватит :)

>> «оконная пакость» как бы намекает™
Эммм… В принципе да, соглашусь.

[gto]

«Запустил сканирование антивирем… Просканировал еще двумя.»©

это у Вас на машине 3 антивируса стоит? или вы их скачивали/устанавливали/удаляли?

[Angel2S2]

Да, именно скачивал и проверял теми, что не требуют установки (как пример, CureIT).

[dj_catalyst]

может проще до этих ДНС адресов сделать ограничение по скорости? зачем же сразу отключать?

[Angel2S2]

А при чем тут DNS-сервера?
Отключил, чтобы ничего не передавали в сеть и не завалили опять канал.

[mafet]

Немного не по теме. Что такое akadns.net, очень много где видел. Попытки зайти на akadns.net ничего не дают.
Видел уже у многих крупных компаний упоминание о akadns.net в т.ч. microsoft, apple, yahoo. Правда в основном используется для служебных вещей.

[kyookineko]

Akamai Technologies — один из старейших CDN-провайдеров

[Angel2S2]

В догонку…

$ host akadns.net
akadns.net mail is handled by 100 prod-mail-remail02.akamai.com.
akadns.net mail is handled by 100 prod-mail-remail01.akamai.com.

[kerrygun]

А перезагружать не пробовали?

[Angel2S2]

Пробовал. Ни то, ни другое не помогло.

[Guria]

Большущее спасибо за наводку на pfSense

[kabachok]

нустройтесь на что нить типа ru.pool.ntp.org
а вообще SP2 очень давно пора уже и обновить.

[Angel2S2]

Как уже говорил в комментах: машинку трогать ооочень не желательно, это, как бы, касса, и народ там постоянно работает. Поэтому ставлю только критические заплатки.

[nightfly]

страшно представить что будет с автором поста если он когда-то заметит нечто типа
ntpdate_enable=«YES»
ntpdate_flags…

в rc.conf — трагедия же. «Терабайты» мелкопакетного трафика, дикий рост pps… караул(!) И конечно же будет «виновата» фря :)

[dime]

Вы, должно быть, не заметили, но у автора «очень хорошая и правильная» венда забили своим «время от времени синхронизировать» весь исходящий канал. Зачем она это сделала? Да потому, что «стабильная», конечно!
ЗЫ. вендовые эникейщики тупы до невозможности… :(

[Angel2S2]

1. раньше он с NTP-трафиком не сталкивался

[Angel2S2]

раньше он с NTP-трафиком не сталкивался

Сталкивался, но чтобы такое… Еще не было. Поэтому даже и мыли не было, что это NTP-трафик и служба времени такое творят.

Подиагностил он «выдергиванием провода из свича»

Это не диагностика, а, так сказать, проверка чтоли. Просто вначале хотел отрубить его от сети вовсе, чтобы пойти и на месте разобраться. А потом подумал: «Дай-ка обратно воткнул, может просто лаг какой...» (подобное было у меня на практике, но давно и подробностей уже не помню).

[foboss]

А свой NTP-сервер поднимать не пробовали? Хоть на том же шлюзе. Помогает. И время на всех компьютерах точное.

[Angel2S2]

Тогда не был поднять по этой причине, щас уже настроен.

[mrBuG]

Вот забросали человека. Опыт — это не так уж и маловажно :)

[Fedia]

Да тут половина родилась со знанием ассемблера и за первый год развития осилила все существующие и будущие ОС, равно как и стеки протоколов.

Критиковать легко, особенно если знаком с темой.

Нужно ли, вот в чем вопрос? Ведь в подобной критике нет пользы. Тогда зачем? Порисоваться?

Всю ту же инфу (которая есть в некоторых каментах) можно было донести простым, понятным и необидным способом.

[nightfly]

Дык донесли же. Мотивация немаловажный аспект — вам не кажется?