|
Странные маршруты по netstat
Вложений: 1
Доброго времени суток!
Имеется локальная сеть предприятия около 50 машин.Всем машинам назначены статические адреса.Установлен сервер 1с на Server 2003 SP2. На сервер стоит ESET Smart Security 4. Периодически стал замечать перегруз сервера, выглядит как медленная работа машин - клиентов с 1с-сервером (бухгалтерия и др. отделы). Физически с самой сетью проблем нет. На сервере открыт порт 3389 удаленного рабочего стола, через шлюз. Просмотрел таблицу маршрутов и удивился картинке. Имеются непонятные открытые или ожидающие открытия порты с адресами. Определил, что некоторые адреса идут из США, а некоторые вообще непонятно откуда. И каждый раз таблица маршрутов меняется, но в ней также присутствуют и те адреса.Смотрите скрины. Сбрасывал настройки TCP\IP, Winsock, route print ничего не показал странного. На вирусы проверял сторонними утилитами.Но маршруты так и висят.Подскажите, имеет место быть проблема?Необходимую информацию предоставлю в любое время суток.Спасибо. |
Вот у меня недавно эти самые адреса были, решили тут на форуме. Это работа службы фоновой интеллектуальной передачи, причем она не на винду работает, а на сторонние программы (в которых не отключено автоматической обновление) в ней прописались на задание закачки.
Проблему решил отключением двух сразу служб (автоматического обновления и фоновой передачи), отключать по одной не помогало. Причем, если даже у какой то программы отключено автоматическое обновление, она могла до этого отключения успеть поставить закачку в план службе фоновой передачи. |
anderson-7,
Возможно, но у меня на сервере отключено Автоматическое обновление, а BITS стоит на Автомате. Закачек никаких как Вы понимаете нет. Из софта только необходимое: скуль 2008 (Microsoft SQL Server 2008), Acronis Disk Director SERVER, Far, Opera. Может проблема и не в этих маршрутах. но просто интересно откуда они взялись и постоянно меняются. При чем некоторые относятс и и к Google.Да, забыл добавить сервер как и многие рабочие станции пострадали от Conficker`а. Удалял его вручную+ спец. утилиты+ заплатки. Вроде бы все хорошо было, но вот опять недавно стал детектится антивирусом.А этот зловред любит нагружать сетку.Может в нем и дело? |
когда я у себя эту еренду заметил, выполнил команду в строке и оказалось, что служба фоновой передачи тянет из инета новую версию гугла хрома.
А то что сервер нагружается, так и должно быть от этого. Потому что, что отключено автоматическое обновление, это не играет никакой роли, когда есть в задании что то у службы фоновой передачи, в результате щас у вас тоже самое состояние у сервера, как будто идет автоматическое обновление, а оно, как известно, нередко вызывает серьезные тормоза системы. Еще загляните в планировщик заданий, вдруг там что то появилось само вдруг. |
Планировщик девственно чист.Кроме любителя обновляться, Adobe Flash Player.
Буду разбираться дальше... |
А что разбираться.. Если это не система то покажет экзешник тот netstat -b
Если система то эти две дружные службы.. |
у вас столько реальных клиентов висело на 3389? (картинка 123)
осильте копипаст из консоли, вместо скринов. если нет - вас брутят, ибо по-другому RDP не выломать. подтверждение в журнале "безопасность". По поводу BITS и прочего - есть волшебная утилита process monitor - она покажет что за приложение и куда ломится. P.S. это не маршруты. P.P.S. скомпроментированный (Слава Протоколу!) сервер должен быть переустановлен. |
про эти адреса?
cameron, это у него юзеры в нехилые сетевые игрушки играют через этот сервер, а вы пугаете.. |
Цитата:
ну-ну |
ну посмотрите сами. почему то через этот порт выходят, видимо в игрушке продумано, какой порт открыт скорее всего... Торренты, помните, тоже использовать могли стандартный порт upnp чтоб вырваться наружу..
|
Цитата:
Цитата:
Цитата:
|
Цитата:
udp 1900 Цитата:
Цитата:
Сессии тянутся за бугор на сервер игрушек, вы думаете, что оттуда кто то сканирует? |
Цитата:
торренты дают большее кол-во потоков, плюс они обычно на высоких портах. и опять же, 3389 они не используют. Цитата:
вам, по-моему, хочется поболтать не по-сути, а абы как. читайте внимательней. |
Да я не говорил что тут именно торрент, я как пример привел, что могут порты понадобиться.
Вот читайте какие порты использует какая то игрушка и найдите там наш... http://ru.board.bigpoint.com/drasaon....php?p=4154735 |
Цитата:
Нет ли повышенной сетевой активности на портах каких-нибудь клиентов на коммутаторе? |
Цитата:
На 1с сервере работают примерно 12-15 человек. На сервере стоит 4Гб. ОЗУ. |
Вот например утренний список активных соединений:
TCP 1server:1560 VETVRACH:1871 ESTABLISHED TCP 1server:1560 HOLODILNYK:1622 ESTABLISHED TCP 1server:1560 COMP:1110 ESTABLISHED TCP 1server:1560 XP:1043 ESTABLISHED TCP 1server:1560 WAREZ-A973294F6:1035 ESTABLISHED TCP 1server:1560 MICROSOF-9679FD:1113 ESTABLISHED TCP 1server:1560 BUXGALTER:4392 ESTABLISHED TCP 1server:1560 MAGAZIN:1083 ESTABLISHED TCP 1server:1560 PARADISE:1078 ESTABLISHED TCP 1server:1560 EXPED:2437 ESTABLISHED TCP 1server:1560 EXPED02:1042 ESTABLISHED Это клиенты 1с, но что такое внизу... TCP 1server:2561 a23-59-112-60.deploy.static.akamaitechnologies.com:https CLOSE_WAIT TCP 1server:2562 a23-64-224-60.deploy.static.akamaitechnologies.com:https CLOSE_WAIT TCP 1server:3389 pk.m3x.org:4682 ESTABLISHED Это я по удаленке зашел |
я понимаю. что Akamai предоставляет множество услуг, хостинг приложений, поставки контента, служб потокового мультимедиа....но мой сервер причем? для внедрения их продуктов? либо их ломанули, а через них ко мне? хз... просто трафик Akamai известен многим.
|
Цитата:
nestat -ab покажите |
|
ну позвоните им
+1-617-444-9713 +1-617-444-2535 Скажите, что мой сервер постоянно проверяет обновления каких то ваших продуктов.. |
Цитата:
|
Я в курсе :) обновления java (автоапдейт). Я уже анализировал список.
Но почему-то он относится в списке к Акамаи. |
Цитата:
Цитата:
там почти все вендорпы хранят свои инсталляторы/апдейты и тд |
cameron,
Понятно. Но что скажете по тем соединениям, что на скрине 123 (3 шт. внизу кроме самого последнего), да еще и на 3389- м порту? Причем, как я уже писал, соединения бывают разные. Находил даже и дочерний домен от Одноклассников. Доступ к серверу имею только я и он запаролен. На сервере, в Одноклассниках, уж точно никто не лазит. 77-175-69-49.FTTH.ispfabriek.nl 77-175-69-49 - это его ip-адрес (почему в таком формате?) Насколько я владею информацией, 77-175-69-49 - это вредный сервер и тянется из Нидерланд. |
|
cameron,
Ясно. Значит идут какие-то бруты и т.д. Будем думать, что делать... |
Цитата:
Третий 77-175-69-49.FTTH.ispfabriek.nl это то ли напарник какой то в игре вылез, то ли еще какая то приблуда от игрушки.. |
насчет третьего адреса (77-175-69-49.FTTH.ispfabriek.nl) как то неубедительно я себя убедил, что это такое...
ааааааа.. (77-175-69-49.FTTH.ispfabriek.nl) передает (или отдает) потоковое видео или звук... что бы это было такое? |
anderson-7,
вы бредите. |
В результате из этих трех адресов имеем два адреса игрушки и один адрес передачи (отдачи) потокового видео или аудио..
Ну это я так нагуглил...... |
Цитата:
|
zai, вы подали реально трезвую мысль.. В самом деле, как он цепляет сессии на себя, или проброс таких стандарных портов стоит, как rdp..
|
о господи....они лезут на свет!!
где же модеры?! |
Стоит роутер, в роутер заходит интернет, роутер подключен к свитчу, дальше сетка от этого свитча, плюс где нужно еще стоит свитч+ еще свитч и т.д. Это уже пошло внутри предприятия.
Цитата:
На роутере проброшен порт 3389 для доступа к серверу 1с, имеется купленный IP-адрес, по нему через RDP, определенная контора в Киеве заходит на сервер 1с. Сервер 1с, соответственно подключен к внутренней локальной сети, с определенным IP-адресом. На него через RDP (3389), через роутер, по внешнему IP-адресу, ломится контора. |
ну то есть ничего нового мы не открыли, понятно было что этот порт открыт.
А насчет игрушек... То что никто не играет, это может вы этого не видели, лично я много раз в разных компаниях видел как играют.. а 7 лет назад когда сам с этим работал, то удалял игры у пользователей особенно продвинутых, которые умудрялись поставить игры.. |
anderson-7,
Поверьте, не играют. Играют но в соц. сетях, не более. вот прошел почти целый день, пока как были эти 2 адреса так и остались.Других нет. TCP 1server:2561 a23-59-112-60.deploy.static.akamaitechnologies.com:https CLOSE_WAIT TCP 1server:2562 a23-64-224-60.deploy.static.akamaitechnologies.com:https CLOSE_WAIT Но за них я уже понял. anderson-7, Могу сказать одно. Про игры. Более года назад, обнаружил открытый порт на роутере (для КС), все закрыл, да и на самом сервере (который у меня стоял в кабинете), по находил Half Life приблуды и т.д., никто доступа не имел туда кроме меня. Но после этого, сервер переставлялся по определенным на то причинам. |
да причём тут игра то блин?
хватит уже чушь пороть... Цитата:
доступ то имели, видимо.. |
|
У меня был случай. Устроился в одну компанию и оказалось, что интернет есть только на компьютере старшего в отделе. Как то он отлучился на полчаса и комп не блокировал. Мне этого хватило, чтоб на его компе поставить виртуальную сетевуху, поднять маршрутизацию, и сделать как сервер vpn и pppoe с конечно раздачей интернета клиентам такого сервера...
|
Потом этот старший ходил с таким же лицом, как у diagnoz_, кога он разлядывает сессии, ему стало мерещиться что мы сидим на интернет сайтах, но мы утверждали что локальных ресурсах (их было много), раз он попробовал даже проверить инет, но тот человек быстро отключил соединение по требованию и осталась только локалка.. Потом этот старший нам говорит, это я что то туплю, я же знаю, что у вас не интернета..
|
я извиняюсь, но сам не пойму, как тут нашел какую то игрушку.. никакой щас игрушки не вижу точно..
сессия есть с почтовым сервером и с этой компанией фабриэк.. |
| Время: 19:28. |
Время: 19:28.
© OSzone.net 2001-