|
netbios-ssn: непонятное движение
|
|
|
|
Lio |
Вторник, 30 Октября 2001, 0:03
|
Участник
Профиль
Группа: Участник
Сообщений: 90
Регистрация: 23.09.2001
Из: г. Киев
Пользователь №: 355
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Каждый день наблюдаю у себя на сервере Win2K Prof одну и ту же картину: при полном бездействии со стороны пользователей и программ (клиенты - Win98) один комп все время передает что-то на сервак, за час примерно 10 Мб. На обоих этих компах список открытых файлов пустой. Диспетчер задач показывает, что на сарвере активны процессы services.exe и spoolsv.exe. Что это за непонятная активность?
|
|
|
|
|
Dr_Access |
Вторник, 30 Октября 2001, 6:45
|
Участник
Профиль
Группа: Участник
Сообщений: 98
Регистрация: 28.09.2001
Из: РФ
Пользователь №: 391
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
servers.exe и spools®v.ex, это вроде бы рядовые процессы запущенные с системой. Ты попробуй поглядеть на процессы которые запущены на той тачке что шлет данные, и давай их сюда. И еще попробуй приглушить ту тачку и перезагрузить сервер без нее, и скажи выдалось ли какое-нибудь сообщение. Затем найди и скачай прогу AATools (Advanced Administrative Tools), она может понадобиться при разборке процессов. Затем попробуй посмотри производительность сети с заглушеной тачкой (той которая данные слала) и скажи изменилось ли оно в лучшую сторону.
|
|
|
|
|
Lio |
Вторник, 30 Октября 2001, 20:23
|
Участник
Профиль
Группа: Участник
Сообщений: 90
Регистрация: 23.09.2001
Из: г. Киев
Пользователь №: 355
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
АААА! У меня еще три тачки уже лезут на сервер, причем одновременно, я уже с сервера по сети еле-еле лажу, сеть загружена почти полностью между этими компами Перезагружать пробовал. Никаких сообщений - полная тишина, как на сервере так и на тачках. Но через несколько минут все начинается сначала. Процессы на подозреваемом (Win 98): avpm.exe - AVP explorer.exe internat.exe kernel32.dll lexbces.exe (к принтеру относится) mmtask.tsk mprexe.exe msgsrv32.exe regserv.exe rpcss.exe spool32.exe systray.exe taskmon.exe wmiexe.exe Процессы смотрел прогой DLL show. Что еще проверить? Один комп за полчаса мне 28 метров на сервак передал
|
|
|
|
|
Dr_Access |
Среда, 31 Октября 2001, 7:45
|
Участник
Профиль
Группа: Участник
Сообщений: 98
Регистрация: 28.09.2001
Из: РФ
Пользователь №: 391
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Глуши regserv.exe и rpcss.exe, если флуд не прекратиться предлагаю отсоединить компьютеры на время от сети до выяснения обстоятельств, а именно запусти сниффер и попытайся разузнать что они шлют, с процессами вроде все нормально, хотя хоть какой-то из них должен относиться к инициатору. Можно еще попробовать поотключать все кроме kernel32.dll, explorer.exe, internat.exe.
|
|
|
|
|
Vio |
Среда, 31 Октября 2001, 11:07
|
Администрация
Профиль
Группа: WinCity Team
Сообщений: 1331
Регистрация: 22.08.2001
Из: Moldova, Chisinau
Пользователь №: 237
Конфигурация
Корпус: IBM NetVista 6792-kkg Материнская плата: IBM Intel Оперативная память: 256 MB Видеокарта: Riva Vanta Жесткий диск (винчестер): Seagate Barracuda IV Дисковод: 3.5" CD/DVD: LG Модем: -- Сетевой адаптер: Intel 100MB RJ45 Звуковая плата: AC'97 incorporated Монитор: 17'', IBM G74 Операционная система: WIndows XP Proffesional Eng Прочее: --
|
a сервер у тебя случаем не указан шлюзом на рабочих танциях? Может у тебя какой-то троян стоит и он пытается в инет что-то передать. Посмотри < Netstat -a > какие соеденения у тебя открыты.
|
|
|
|
|
Dr_Access |
Четверг, 01 Ноября 2001, 5:55
|
Участник
Профиль
Группа: Участник
Сообщений: 98
Регистрация: 28.09.2001
Из: РФ
Пользователь №: 391
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Ха ха ха, я конечно не отрицаю, все может быть, но представьте себе трояна который в инет шлет 20мб информации... Да его создателю надо было гвоздь в голову забить...8))
|
|
|
|
|
Vio |
Пятница, 02 Ноября 2001, 0:17
|
Администрация
Профиль
Группа: WinCity Team
Сообщений: 1331
Регистрация: 22.08.2001
Из: Moldova, Chisinau
Пользователь №: 237
Конфигурация
Корпус: IBM NetVista 6792-kkg Материнская плата: IBM Intel Оперативная память: 256 MB Видеокарта: Riva Vanta Жесткий диск (винчестер): Seagate Barracuda IV Дисковод: 3.5" CD/DVD: LG Модем: -- Сетевой адаптер: Intel 100MB RJ45 Звуковая плата: AC'97 incorporated Монитор: 17'', IBM G74 Операционная система: WIndows XP Proffesional Eng Прочее: --
|
ну если целью у него стоит не только доносить на тебя но и участвовать в DDoS атаке, то все не так уж и фантастично хотя если на сервере нет выхода в инет, то постояннами попытками туда что-то отправить тоже можно порядочно накачать
|
|
|
|
|
bug |
Пятница, 02 Ноября 2001, 0:44
|
Злобный БАНщик
Профиль
Группа: WinCity Team
Сообщений: 2396
Регистрация: 27.09.2001
Из: --Москва--Moscow--Moskau--
Пользователь №: 378
Конфигурация
Корпус: Asus 6AR1 Tt 450W Процессор: Sempron (socket A) Материнская плата: MSI K7N2 Delta-ILSR Оперативная память: 2x512mb Kingston PC-3200 Видеокарта: NVIDIA GeForce FX 5900 XT Overclocked Жесткий диск (винчестер): IDE 120gb IBM IC35L120AVV207 Дисковод: 3.5" CD/DVD: DVD Asus E-616, CD-RW Plextor PX-W4824TA Модем: Internal, 3Com Sporster 2976 PCI Hardware Сетевой адаптер: onboard Звуковая плата: onboard Монитор: Samsung SM 757NF Операционная система: Windows XP Pro SP2 Rus VLS Прочее: AVER STUDIO 305, Canon Lide 50
|
Полностью согласен с Vio,все зависит от того как троян настроен...бывали случаи когда трояны выкачивали базы данных по клиентам, а это не один гиг.Обидно то что троян написанный под конкретную цель не ловится антивирусами...Кстати чтобы проверить подозрительную машину можно поставить на нее файрвол...он то точно покажет кто лезет, а там уж и разбираться...
|
|
|
|
|
Dr_Access |
Пятница, 02 Ноября 2001, 6:41
|
Участник
Профиль
Группа: Участник
Сообщений: 98
Регистрация: 28.09.2001
Из: РФ
Пользователь №: 391
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Я конечно ничего против идее о троянах не имею, но раз уж пошла речь, то не скажет ли нам Lio когда он в последний раз проверял компы антивирусом. Может действительно троян принял сервер за прокси и пытаеться слать что-либо, однако пусть lio сам скажет что ему предпочтительней, и что он думает по этим советам.
|
|
|
|
|
Lio |
Суббота, 03 Ноября 2001, 0:28
|
Участник
Профиль
Группа: Участник
Сообщений: 90
Регистрация: 23.09.2001
Из: г. Киев
Пользователь №: 355
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Отвечаю: на всех тачках стоит AVP, базы постоянно обновляются, и все компы каждое утро проверяются на вирусы. Дальше: в настройках сети шлюз не указан, так что насчет трояна маловероятно. А проблема как я понял, в контроле сетевого принтера: к серверу подключен принтер, и все тачки, на которых установлен этот принтер как сетевой, как раз и лезут в сеть
|
|
|
|
|
Dr_Access |
Суббота, 03 Ноября 2001, 4:44
|
Участник
Профиль
Группа: Участник
Сообщений: 98
Регистрация: 28.09.2001
Из: РФ
Пользователь №: 391
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Так я непонял, принтер подключен локально только к серверу, и стало быть для остальных он являеться удаленным, только зачем им без причины обращаться к удаленному принтеру ? Что может быть причиной ?
|
|
|
|
|
Lio |
Воскресенье, 04 Ноября 2001, 0:53
|
Участник
Профиль
Группа: Участник
Сообщений: 90
Регистрация: 23.09.2001
Из: г. Киев
Пользователь №: 355
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Хе-хе, всех прошу извинить меня: дело-то было в StatWin - он как раз и пытался контролировать удаленный принтер со всех машин, а в списке процессов его нет Так что теперь это вопрос к создателям этой утилиты. Но все равно - обсуждение было для меня довольно познавательным Всем спасибо! Если есть еще комментарии или вопросы - комментируйте и задавайте
|
|
|
|
|
|
1 чел. читают эту тему (1 Гостей и 0 Скрытых Пользователей)
|
0 Пользователей:
|
|
© Copyright by WinCity.Ru 2001 - 2008 | Обратная связьУслуги веб-хостинга предоставлены компанией MTW.RU
|
|