|
Действия ...
Этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
Политика конфиденциальности
Новые сообщения [новые:0]
Дайджест
Горячие темы
Избранное [новые:0]
Форумы
Пользователи
Статистика
Статистика нагрузки
Мод. лог
Поиск
|
|
22.03.2004, 11:47
|
|||
|---|---|---|---|
|
|||
Про вирус и трафик |
|||
|
#18+
Доброе время все. Случилась такая неприятность. Один из юзаров скачал прикрепленный вирусок к письму. jibzwk.exe с ярлычком от ворда. Вирус прописаля в реестр current version/run несколько сотен(а может тысяч) записей с вызовом себя из system32. Создала там еще несколько экзешников с такими же случайными именами и их прописала в run. Одновременно с этим у нас произошел перерасход трафика ВХОДЯЩЕГО на 1Гиг. То что трояны рассылкой занимаются - это я понимаю - но почему всос трафика произошел. Статистика ИСА сервера показывает что скачано 200 метров, провайдер - 1200 метров. Кто-нисть с похожим сталкивался? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
22.03.2004, 16:12
|
|||
|---|---|---|---|
Про вирус и трафик |
|||
|
#18+
При сильных расхождениях в данных по трафику имеет смысл запрашивать лог от провайдера. Затем берем тот же SQL Server и сравниваем полученный лог со своим (ippacketfilter). Иногда встречаются и "хитрые мелкие провы". А сколько "весят" логи от ISA Server'а? Вероятно, Вы смотрите статистику по юзеру, попробуйте по IP или "anonymous". Если на сервер, где ISA, установить почтовик MDaemon с антивирусным плагином и настроить на сбор всей почты, можно избавиться от подобных проблем в дальнейшем. При этом, естественно, блокировать доступ извне к POP3/SMTP. Закрыть ненужные порты. Плюс не мешало бы ужесточить политику доступа (отключить лишние правила, разрешающие доступ в Инет во время отпуска сотрудника, ночной доступ и т.д.). БОЛЬШИМ ПЛЮСОМ будет установка антивируса для самого ISA Server'а. P.S. А кто мешает просматривать загруженность канала? P.P.S. Вообще-то, своих "хомячков" я люблю и уважаю. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
22.03.2004, 16:21
|
|||
|---|---|---|---|
Про вирус и трафик |
|||
|
#18+
Запросите у своего прова логи, касающиеся Вашего трафика. Отказ провайдера в предоставлении статистики можно расценивать как ... ? Правильно! Тем более, что логи у него должны храниться продолжительное время. Удачи! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
25.03.2004, 12:56
|
|||
|---|---|---|---|
|
|||
Про вирус и трафик |
|||
|
#18+
Спасибо. Запросим провайдера. А чем можно поток весь входящий и исходящий фиксить и просматривать потом. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
26.03.2004, 09:25
|
|||
|---|---|---|---|
|
|||
Про вирус и трафик |
|||
|
#18+
Любым снифферо (Network Monitor например), только тормоза будут жутчайшие ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
26.03.2004, 14:17
|
|||
|---|---|---|---|
|
|||
Про вирус и трафик |
|||
|
#18+
Провайдер логов не дал - говорит нету... Но накопал другое. Насчет закачки 1 гига пока не разобрался. А вот выкачку инициирует SQL Server. Я подробно ситуацию обрисовал в разделе sql server. Сюда тоже кину. С некоторых пор появилась проблема. Идет выкачка данных из сети. Причем практически в одно и тоже время. Искали машину с которой это происходит. Несколько раз ловил свою. Антивирусы стоят с последними апдейтами. Суть такова - когда начинается выкачка (сразу проц ISA сервера грузится под завязку файлом wspsrv.exe, инет при этом валится) на моей машине процесс sqlserver занимает до 40-60 процентов процессорного времени, даже когда останавливаю SQL сервер. Убить себя он не дает. Только перезагрузкой лечится - и не повторяется до следующего дня. Смотрел логи идет конект к тысячам ипишников - причем ощущение, что генерятнся они случ образом. Не сталкивался ли кто с этим явлением на sql server? Заранее всем спасибо. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
26.03.2004, 14:28
|
|||
|---|---|---|---|
|
|||
Про вирус и трафик |
|||
|
#18+
Очень похоже на червя. Посмотрите, на всех ли машинах с MSSQL ли MSDE стоит MSSQL SP3? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
29.03.2004, 10:54
|
|||
|---|---|---|---|
|
|||
Про вирус и трафик |
|||
|
#18+
Итак, отчетец. Во-первых спасибо всем за помощь. во-вторых: насчет выкачки SQL-Servrом - это и был slammer. СП3 накатил(был уверен что накатил давно - глянул 194 релиз, накатил сп3 стал 760). Надеюсь не вернется. насчет закачки лишнего гига - тот вирус о котором писал в первом мессе. Работает так - троян с зараженного клиента кидает запрос на symantec.com (адреса 212.187.244.14, 212.187.244.7,212.187.244.70,212.187.244.56,212.187.244.57). Запрос улетает размером примерно 300 байт, получает ответ размером 10 000-15 000 байт. Количество запросов - 30 шт. в секунду. Вот и вся арифметика. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
19.11.2004, 14:18
|
|||
|---|---|---|---|
|
|||
Про вирус и трафик |
|||
|
#18+
Привет. Что посоветуете поставить на Win98 тачки с IE5.x для защиты от троянов и прочей нечисти. Оказалось, что Касперский монитор их не видит, и система завалена кучей вирусов в автозагрузке, строками в реестре, файлами и папками в Windows- директории. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
start [/forum/topic.php?fid=26&mobile=1&tid=1514502]: |
0ms |
get settings: |
8ms |
get forum list: |
14ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
46ms |
get topic data: |
11ms |
get forum data: |
3ms |
get page messages: |
46ms |
get tp. blocked users: |
1ms |
| others: | 207ms |
| total: | 342ms |
| 0 / 0 |
