Доброго времени суток!
Имеется локальная сеть предприятия около 50 машин.Всем машинам назначены статические адреса.Установлен сервер 1с на Server 2003 SP2. На сервер стоит ESET Smart Security 4. Периодически стал замечать перегруз сервера, выглядит как медленная работа машин - клиентов с 1с-сервером (бухгалтерия и др. отделы). Физически с самой сетью проблем нет. На сервере открыт порт 3389 удаленного рабочего стола, через шлюз. Просмотрел таблицу маршрутов и удивился картинке. Имеются непонятные открытые или ожидающие открытия порты с адресами. Определил, что некоторые адреса идут из США, а некоторые вообще непонятно откуда. И каждый раз таблица маршрутов меняется, но в ней также присутствуют и те адреса.Смотрите скрины. Сбрасывал настройки TCP\IP, Winsock, route print ничего не показал странного. На вирусы проверял сторонними утилитами.Но маршруты так и висят.Подскажите, имеет место быть проблема?Необходимую информацию предоставлю в любое время суток.Спасибо.

Вот у меня недавно эти самые адреса были, решили тут на форуме. Это работа службы фоновой интеллектуальной передачи, причем она не на винду работает, а на сторонние программы (в которых не отключено автоматической обновление) в ней прописались на задание закачки.
Проблему решил отключением двух сразу служб (автоматического обновления и фоновой передачи), отключать по одной не помогало.

Причем, если даже у какой то программы отключено автоматическое обновление, она могла до этого отключения успеть поставить закачку в план службе фоновой передачи.

anderson-7,
Возможно, но у меня на сервере отключено Автоматическое обновление, а BITS стоит на Автомате. Закачек никаких как Вы понимаете нет. Из софта только необходимое: скуль 2008 (Microsoft SQL Server 2008), Acronis Disk Director SERVER, Far, Opera. Может проблема и не в этих маршрутах. но просто интересно откуда они взялись и постоянно меняются. При чем некоторые относятс и и к Google.Да, забыл добавить сервер как и многие рабочие станции пострадали от Conficker`а. Удалял его вручную+ спец. утилиты+ заплатки. Вроде бы все хорошо было, но вот опять недавно стал детектится антивирусом.А этот зловред любит нагружать сетку.Может в нем и дело?

когда я у себя эту еренду заметил, выполнил команду в строке и оказалось, что служба фоновой передачи тянет из инета новую версию гугла хрома.

А то что сервер нагружается, так и должно быть от этого. Потому что, что отключено автоматическое обновление, это не играет никакой роли, когда есть в задании что то у службы фоновой передачи, в результате щас у вас тоже самое состояние у сервера, как будто идет автоматическое обновление, а оно, как известно, нередко вызывает серьезные тормоза системы.
Еще загляните в планировщик заданий, вдруг там что то появилось само вдруг.

Планировщик девственно чист.Кроме любителя обновляться, Adobe Flash Player.
Буду разбираться дальше...

А что разбираться.. Если это не система то покажет экзешник тот netstat -b
Если система то эти две дружные службы..

у вас столько реальных клиентов висело на 3389? (картинка 123)
осильте копипаст из консоли, вместо скринов.
если нет - вас брутят, ибо по-другому RDP не выломать.
подтверждение в журнале "безопасность".
По поводу BITS и прочего - есть волшебная утилита process monitor - она покажет что за приложение и куда ломится.

P.S. это не маршруты.
P.P.S. скомпроментированный (Слава Протоколу!) сервер должен быть переустановлен.

про эти адреса?
cameron, это у него юзеры в нехилые сетевые игрушки играют через этот сервер, а вы пугаете..

cameron, это у него юзеры в нехилые сетевые игрушки играют через этот сервер, а вы пугаете.. »
через localhost:3389?
ну-ну

ну посмотрите сами. почему то через этот порт выходят, видимо в игрушке продумано, какой порт открыт скорее всего... Торренты, помните, тоже использовать могли стандартный порт upnp чтоб вырваться наружу..

почему то через этот порт выходят, »
куда выходят?..
видимо в игрушке продумано, какой порт открыт скорее всего... »
вы много игр на 3389 выдели?
тоже использовать могли стандартный порт upnp чтоб вырваться наружу.. »
и какой же вдруг порт у uPNP?

и какой же вдруг порт у uPNP? »
tcp 2869
udp 1900
куда выходят?.. »
Не факт, что выходят, просто сесия висит и все.
вы много игр на 3389 выдели? »
Я не играю в игры вообще.

Сессии тянутся за бугор на сервер игрушек, вы думаете, что оттуда кто то сканирует?

tcp 2869
udp 1900 »
но тут то их нет.
торренты дают большее кол-во потоков, плюс они обычно на высоких портах.
и опять же, 3389 они не используют.
Не факт, что выходят, просто сесия висит и все. »
так вот и я спрашиваю, это известные сессии висят из разных стран на localhost:3389 или нет.


вам, по-моему, хочется поболтать не по-сути, а абы как.
читайте внимательней.

Да я не говорил что тут именно торрент, я как пример привел, что могут порты понадобиться.
Вот читайте какие порты использует какая то игрушка и найдите там наш...
http://ru.board.bigpoint.com/drasaonline/showthread.php?p=4154735

Периодически стал замечать перегруз сервера, выглядит как медленная работа машин - клиентов с 1с-сервером (бухгалтерия и др. отделы). »

Имхо, лучше бы посмотрели в сторону памяти сервера, задач, выполняемых 1С пользователями и проблем, связанных с ростом баз 1С.
Нет ли повышенной сетевой активности на портах каких-нибудь клиентов на коммутаторе?

у вас столько реальных клиентов висело на 3389? (картинка 123) »
нет, открыт на шлюзе только 3389, через него на сервер 1с заходит определенная контора (но возможно уже и не только она...). Причем эти маршруты не всегда висят, со временем появляются.
На 1с сервере работают примерно 12-15 человек. На сервере стоит 4Гб. ОЗУ.

Вот например утренний список активных соединений:

Active Connections

Proto Local Address Foreign Address State
TCP 1server:1037 1server:1541 ESTABLISHED
TCP 1server:1541 1server:1037 ESTABLISHED
TCP 1server:1541 1server:1989 ESTABLISHED
TCP 1server:1541 1server:2002 ESTABLISHED
TCP 1server:1560 VETVRACH:1871 ESTABLISHED
TCP 1server:1560 HOLODILNYK:1622 ESTABLISHED
TCP 1server:1560 COMP:1110 ESTABLISHED
TCP 1server:1560 XP:1043 ESTABLISHED
TCP 1server:1560 WAREZ-A973294F6:1035 ESTABLISHED
TCP 1server:1560 MICROSOF-9679FD:1113 ESTABLISHED
TCP 1server:1560 BUXGALTER:4392 ESTABLISHED
TCP 1server:1560 MAGAZIN:1083 ESTABLISHED
TCP 1server:1560 PARADISE:1078 ESTABLISHED
TCP 1server:1560 EXPED:2437 ESTABLISHED
TCP 1server:1560 EXPED02:1042 ESTABLISHED
TCP 1server:1560 KOSTA:4465 ESTABLISHED
TCP 1server:1926 1server:3459 ESTABLISHED
TCP 1server:1959 1server:3459 ESTABLISHED
TCP 1server:1976 1server:3459 ESTABLISHED
TCP 1server:1981 1server:3459 ESTABLISHED
TCP 1server:1989 1server:1541 ESTABLISHED
TCP 1server:2002 1server:1541 ESTABLISHED
TCP 1server:2003 1server:3459 ESTABLISHED
TCP 1server:2005 1server:1560 TIME_WAIT
TCP 1server:2006 1server:1560 TIME_WAIT
TCP 1server:2007 1server:1560 TIME_WAIT
TCP 1server:2008 1server:1560 TIME_WAIT
TCP 1server:3459 1server:1926 ESTABLISHED
TCP 1server:3459 1server:1959 ESTABLISHED
TCP 1server:3459 1server:1976 ESTABLISHED
TCP 1server:3459 1server:1981 ESTABLISHED
TCP 1server:3459 1server:2003 ESTABLISHED
TCP 1server:3459 1server:4445 ESTABLISHED
TCP 1server:4445 1server:3459 ESTABLISHED
TCP 1server:2561 a23-59-112-60.deploy.static.akamaitechnologies.com:https CLOSE_WAIT
TCP 1server:2562 a23-64-224-60.deploy.static.akamaitechnologies.com:https CLOSE_WAIT
TCP 1server:3389 pk.m3x.org:4682 ESTABLISHED


TCP 1server:1560 VETVRACH:1871 ESTABLISHED
TCP 1server:1560 HOLODILNYK:1622 ESTABLISHED
TCP 1server:1560 COMP:1110 ESTABLISHED
TCP 1server:1560 XP:1043 ESTABLISHED
TCP 1server:1560 WAREZ-A973294F6:1035 ESTABLISHED
TCP 1server:1560 MICROSOF-9679FD:1113 ESTABLISHED
TCP 1server:1560 BUXGALTER:4392 ESTABLISHED
TCP 1server:1560 MAGAZIN:1083 ESTABLISHED
TCP 1server:1560 PARADISE:1078 ESTABLISHED
TCP 1server:1560 EXPED:2437 ESTABLISHED
TCP 1server:1560 EXPED02:1042 ESTABLISHED
Это клиенты 1с,
но что такое внизу...
TCP 1server:2561 a23-59-112-60.deploy.static.akamaitechnologies.com:https CLOSE_WAIT
TCP 1server:2562 a23-64-224-60.deploy.static.akamaitechnologies.com:https CLOSE_WAIT

TCP 1server:3389 pk.m3x.org:4682 ESTABLISHED
Это я по удаленке зашел

я понимаю. что Akamai предоставляет множество услуг, хостинг приложений, поставки контента, служб потокового мультимедиа....но мой сервер причем? для внедрения их продуктов? либо их ломанули, а через них ко мне? хз... просто трафик Akamai известен многим.

я понимаю. что Akamai предоставляет множество услуг, хостинг приложений, поставки контента, служб потокового мультимедиа....но мой сервер причем? может их ломанули, а через них ко мне и не только ко мне.так как трафик Akamai известен многим. »
:durak:
nestat -ab
покажите

Active Connections

Proto Local Address Foreign Address State PID
TCP 1server:http 1server:0 LISTENING 4
[System]

TCP 1server:epmap 1server:0 LISTENING 732
RpcSs
[svchost.exe]

TCP 1server:microsoft-ds 1server:0 LISTENING 4
[System]

TCP 1server:1025 1server:0 LISTENING 492
[lsass.exe]

TCP 1server:1027 1server:0 LISTENING 1136
[msdtc.exe]

TCP 1server:ms-sql-s 1server:0 LISTENING 1616
[sqlservr.exe]

TCP 1server:1540 1server:0 LISTENING 1952
[ragent.exe]

TCP 1server:1541 1server:0 LISTENING 2564
[rmngr.exe]

TCP 1server:1560 1server:0 LISTENING 2700
[rphost.exe]

TCP 1server:3389 1server:0 LISTENING 1904
TermService
[svchost.exe]

TCP 1server:3459 1server:0 LISTENING 1580
[sqlservr.exe]

TCP 1server:8097 1server:0 LISTENING 4
[System]

TCP 1server:1044 1server:0 LISTENING 3000
[alg.exe]

TCP 1server:ms-sql-m 1server:0 LISTENING 1616
[sqlservr.exe]

TCP 1server:3460 1server:0 LISTENING 1580
[sqlservr.exe]

TCP 1server:5152 1server:0 LISTENING 1468
[jqs.exe]

TCP 1server:30606 1server:0 LISTENING 1292
[ekrn.exe]

TCP 1server:netbios-ssn 1server:0 LISTENING 4
[System]

TCP 1server:1037 1server:1541 ESTABLISHED 1952
[ragent.exe]

TCP 1server:1541 1server:2364 ESTABLISHED 2564
[rmngr.exe]

TCP 1server:1541 1server:1037 ESTABLISHED 2564
[rmngr.exe]

TCP 1server:1541 1server:2369 ESTABLISHED 2564
[rmngr.exe]

TCP 1server:1560 EXPED02:1042 ESTABLISHED 2700
[rphost.exe]

TCP 1server:1560 HOLODILNYK:1622 ESTABLISHED 2700
[rphost.exe]

TCP 1server:1560 VETVRACH:1871 ESTABLISHED 2700
[rphost.exe]

TCP 1server:1560 WAREZ-A973294F6:4457 ESTABLISHED 2700
[rphost.exe]

TCP 1server:1560 COMP:3562 ESTABLISHED 2700
[rphost.exe]

TCP 1server:1560 WAREZ-A973294F6:1035 ESTABLISHED 2700
[rphost.exe]

TCP 1server:1560 MAGAZIN:1083 ESTABLISHED 2700
[rphost.exe]

TCP 1server:1560 BORODINAPEO:2201 ESTABLISHED 2700
[rphost.exe]

TCP 1server:1560 PARADISE:1078 ESTABLISHED 2700
[rphost.exe]

TCP 1server:1560 MICROSOF-9679FD:1113 ESTABLISHED 2700
[rphost.exe]

TCP 1server:1560 EXPED:2437 ESTABLISHED 2700
[rphost.exe]

TCP 1server:1560 COMP:3630 ESTABLISHED 2700
[rphost.exe]

TCP 1server:1926 1server:3459 ESTABLISHED 2700
[rphost.exe]

TCP 1server:1976 1server:3459 ESTABLISHED 2700
[rphost.exe]

TCP 1server:1981 1server:3459 ESTABLISHED 2700
[rphost.exe]

TCP 1server:2003 1server:3459 ESTABLISHED 2700
[rphost.exe]

TCP 1server:2292 1server:3459 ESTABLISHED 2700
[rphost.exe]

TCP 1server:2364 1server:1541 ESTABLISHED 2700
[rphost.exe]

TCP 1server:2368 static-ip-173-224-124-93.inaddr.ip-pool.com:http
s ESTABLISHED 2904
[opera.exe]

TCP 1server:2369 1server:1541 ESTABLISHED 2700
[rphost.exe]

TCP 1server:3389 pk.m3x.org:4682 ESTABLISHED 1904
TermService
[svchost.exe]

TCP 1server:3459 1server:2003 ESTABLISHED 1580
[sqlservr.exe]

TCP 1server:3459 1server:4445 ESTABLISHED 1580
[sqlservr.exe]

TCP 1server:3459 1server:1976 ESTABLISHED 1580
[sqlservr.exe]

TCP 1server:3459 1server:2292 ESTABLISHED 1580
[sqlservr.exe]

TCP 1server:3459 1server:1926 ESTABLISHED 1580
[sqlservr.exe]

TCP 1server:3459 1server:1981 ESTABLISHED 1580
[sqlservr.exe]

TCP 1server:4445 1server:3459 ESTABLISHED 2700
[rphost.exe]

TCP 1server:2561 a23-59-112-60.deploy.static.akamaitechnologies.c
om:https CLOSE_WAIT 1784
[jusched.exe]

TCP 1server:2562 a23-64-224-60.deploy.static.akamaitechnologies.c
om:https CLOSE_WAIT 2168
[jucheck.exe]

TCP 1server:2348 1server:1541 TIME_WAIT 0
TCP 1server:2367 1server:1560 TIME_WAIT 0
UDP 1server:1040 *:* 804
Dnscache
[svchost.exe]

UDP 1server:1287 *:* 804
Dnscache
[svchost.exe]

UDP 1server:isakmp *:* 492
[lsass.exe]

UDP 1server:1256 *:* 804
Dnscache
[svchost.exe]

UDP 1server:1255 *:* 804
Dnscache
[svchost.exe]

UDP 1server:microsoft-ds *:* 4
[System]

UDP 1server:1182 *:* 804
Dnscache
[svchost.exe]

UDP 1server:ms-sql-m *:* 1808
[sqlbrowser.exe]

UDP 1server:4500 *:* 492
[lsass.exe]

UDP 1server:1117 *:* 804
Dnscache
[svchost.exe]

UDP 1server:netbios-ns *:* 4
[System]

UDP 1server:netbios-dgm *:* 4
[System]