none
Zatuhávání serverů - asi nějaký útok po síti, prosím o pomoc

    Obecná diskuse

  • Prosím o pomoc. Spravuji školní síť. Jakmile se přihlásí k serveru více uživatelů (přibližně od počtu 10) najednou nebo sahají najednou do sdílených dat, server vytuhne. Zkusil jsem čistou instalaci Active Directory na Server 2003, 2008, teď 2008 R2. Ten R2 zatím vydržel nejvíc (64bit).
    Vážně si už myslím, že to je nějakým útokem po vnitřní síti. Mohli byste mi poradit jak odhalit příčinu nebo ji alespoň odblokovat? Děkuji.
    Ještě k serverům - používám antivirus NOD32 business, ten snad na to vliv nemá?
    15. října 2009 11:04

Všechny reakce

  • Antivirus muze mit a ma casty vliv.

    Spust na serveru nebo na promiskuitnim portu switche napr. MS Network Monitor nebo Wireshark a podivej se co tam lita.

    MP

    P.S. jak se projevuje "vytuhnuti" serveru? Muzes byt konkretnejsi?

    15. října 2009 11:25
    Moderátor
  • Díky za reakci. Server přestane odpovídat a když k němu přijdu fyzicky, tak vůbec nereaguje ani na myš ani na klávesnici.
    15. října 2009 12:04
  • Nech jej prihlaseny, nezamykat, nescreensaverovat.

    Pust na nem task manager a performance monitor a bezne counters - sit, disky, CPU.

    Osobne si ale myslim ze je problem v HW resp. ovladaci (disk, radic, sitovka). Muzes popsat pouzity HW a jake a odkud mas ovladace?

    MP
    15. října 2009 12:06
    Moderátor
  • Co to je za server ? Staveny ? znackovy ? jake ma parametry ?
    15. října 2009 12:07
  • Hardware jsem zkoušel několikerý. Vesměs značkové servery proliant, HP. Máme jich tady celkem 5. Na všech se tento problém po čase projevil.
    15. října 2009 12:09
  • Pokud se to stava pravidelne (po cca par minutach), tak odpojte jednotlive ucebny.
    Pokud to po odpojeni nake ucebny jede v pohode, hledejte chybu tam.
    Doporucuju take ozkouset switche a co kdo do nich zapojil. Staci proklemovat switch a cela sit jde na MS do kopru. Ikdyz tento pripad samozrejme neznamena totalni vytuh serveru, ale muze to tak vypadat.
    Pokdu odpojovani uceben nepomuze, zkuste vymenit hlavni switch.

    Utok nakeho viru to byt muze, ale pokud mate na serveru posledni zaplaty a korektni ovladace, neni to tak moc pravdepodobne .. .. (pri spravnem zabezpeceni AD a sitovych disku)
    15. října 2009 12:13
  • Hlavní switch jsem už vyměnit zkusil. Víte, máme za těch pár let počítačové gramotnosti několik bývalých podnikavých žáků, kteří by milerádi vyzkoušeli, co se na sítích naučili. Proto mám podezření na nějaké DoS nebo jiné útoky, které by mohly zahltit server a zablokovat. Teď zkusím ten MS Network Monitor, jak mi radí M. Prágl.
    15. října 2009 12:27
  • Urcite to vyloucit nelze, ale aby takto zatuhl serverovy system, je to jedna z techto pricin:
    - spatny HW (hw jste vyloucil, switche menil, servery take, na UPS jste)
    - spatne ovladace (predpokladam ze mate pouze od vyrobce, nejlepe WHQL, ikdyz to taky zaruka neni)
    - nekorektni software (predpokladam ze bylo testovano i po ciste instalaci a padalo to stejne)
    - utok (jedno jaky, hacker,vir), ktery vyuzije chyby v systemu.

    Pokud mate podezreni na posledni moznost a zaplatujete, tak pak by to byl naky hodne velky sikula, ktery vymysli utok, ktery MS nezna a proti kteremu MS nema zaplatu, coz zas tak pravdepodobne neni.

    Kazdopadne nejaky sniffer pouzit zkuste, pripadne zkuste nasadit nejake dobre IDS (i jako trial), ktere korektne s danym serverem spolupracuje.

    BTW: pokud by slo o DOS utok ze site, tak by vam to stopro vyresilo odpojovani tech switchu - hned zjistite odkad utok jde.
    Me takhle jednou sejmuli sit proklemovanim jednoho switche a to ste meli videt ten hukot a co OS nedelaly.. .. ale nespadly a nezatuhly.. (w2k3 - w2k8)

    BTW2: doufam ze neni ten server dostupny z internetu, pripadne dokonce ze na nem je AD role a zaroven slouzi jako firewall.. .. ?
    15. října 2009 12:34
  • jeste bych se podival ma-li svist nejake per-port statistiky a divat se ktery port v okamziku tuhnuti nejvic cvici

    MP
    15. října 2009 12:42
    Moderátor
  • Ovladače jsem měl od výrobce, u Serveru 2008 R2 pouze ty, které si při instalaci sám našel.
    Kromě systému a antiviru NOD32 business žádný další nainstalovaný software.
    Server je za firewallem (linuxový), povolena na firewallu je pouze vzdálená plocha, ale jen ze 3 konkrétních IP adres.

    Můžete mi pls poradit IDS, které by fungovalo na 64bit serveru?

    K tomu tuhnutí - Mám teď hlavní řadič na jiném stroji, ten netuhne. Zatuhává jen fileserver (druhý řadič) AD, kde jsou cestovní profily a sdílené složky. Když jsem funkce těchto strojů zaměnil, opět začal zatuhávat ten, který se stal fileserverem.
    15. října 2009 12:43
  • je na tom fileserveru neco v logach (prohlizec udalosti) tesne pred koncem ?

    pokud ano, poslete mi je ziple na spravce at vos-sps-jicin dot cz
    15. října 2009 12:45
  • Nainstaloval jsem právě a spustil MS Network Monitor 3.3 64bit. Bohužel ho příliš ovládat neumím. Můžete mne ps nasměrovat dál? Prozatím jsem použil pouze tlačítko Start.

    Switch bohužel statistiky nemá.
    15. října 2009 12:46
  • V logu protokolu událostí se těsně před pádem nic neukázalo.
    15. října 2009 12:53
  • Netuhne to pri odhlasovani a navaleni XXXgigoveho profilu na ser ver?

    MP
    15. října 2009 12:59
    Moderátor
  • To snad ne Miro :) To by byl spatne j system .. .. :)

    BTW: muj roam profil na serveru ma 20 GB.... ;-)
    15. října 2009 13:02
  • Ano, na serveru 2008 to opravdu tuhlo už při přihlašování - načítání profilů. Na serveru 2008 R2 až při zvýšených přístupech na sdílené disky. Jakoby jakýkoliv zvýšený provoz na síti ten server odpálil. (Nyní mají profily všichni nové, přesměrované dokuments a dataaplikací.
    15. října 2009 13:03
  • vzdyt to JE KU..SKY spatnej system. Este nevime co ale NECO V SYSTEMU stanice - sit - server - uzivaci .... JE SPATNE. Napr. antivir, nevime jeste co.... ale kdyby byl DOBREJ tak to nedela!!!

    MP
    15. října 2009 13:05
    Moderátor
  • Zacal bych docasnym odinstalovanim antiviru, aktualizaci driveru, kontrolou nastaveni sitovek.

    Jaka je average disk queue na tom serveru (perfmon)? Je stabilne >>2?

    MP

    15. října 2009 13:06
    Moderátor
  • Samotne kopirovani ci pracovani s profilama ZATUHNOUT server nemuze !!!
    Muze ho vytizit, ale na zatuhnout ze pomuze jen restart .. ...
    Zkousel jste odpojovat ty switche uceben?
    Nebo se to stane i pri jednom jedinem nacitani profilu ?

    To me navadi k dvoum otazkam:
    1) chova se to tak, ikdyz na fileserveru neni NOD ?
    2) co znamena "vytuhne" ? znamena to ze pomuze jen restart ? nebo ze disk sviti a s serverem skoro nejde pracovat ? ci neco jineho ?
    15. října 2009 13:06
  • Samotne kopirovani ci pracovani s profilama ZATUHNOUT server nemuze !!!

    Vitej v realnem svete. Chtel jsi asi napsat NEMA.

    MP
    15. října 2009 13:07
    Moderátor
  • vzdyt to JE KU..SKY spatnej system. Este nevime co ale NECO V SYSTEMU stanice - sit - server - uzivaci .... JE SPATNE. Napr. antivir, nevime jeste co.... ale kdyby byl DOBREJ tak to nedela!!!

    MP
    Docela silne slova :-)) Jenze zadnej system neni dokonalej a vetsinou je chyba trosku nekde jinde nez primo u MS .. .. :)
    15. října 2009 13:09
  • Moc děkuji za diskuzi. Musím teď postupovat postupně. Nejdřív odpojím nod

    "average disk queue" prosím zjistím kde? 
    A můžete mi pls poradit IDS, které by fungovalo na 64bit serveru?


    Děkuji.
    15. října 2009 13:41
  • spust perfmon, add counters, phys. disk, avg. disk queue length

    MP
    15. října 2009 13:44
    Moderátor
  • ovladaci panely - nastroje pro spravu - Sledovani vykonu- pridat citac - fyzicky disk - stredni delka fronty disku
    Aspon ted apro 2008R2 server CZ ;-)

    IDS zkus az naposled, nemyslim ze by to byl utok, to az posledni vec .. ..
    Nejdriv odinstaluj NODa.

    A co tedy presne znamena to "zatuhne" ?? !!
    15. října 2009 13:49
  • spust perfmon, add counters, phys. disk, avg. disk queue length

    MP
    BTW: co sleduje tento citac, resp. co znamena (a jake jsou spravne/spatne hodnoty).. Dik.. H.

    15. října 2009 13:50
  • 15. října 2009 13:53
    Moderátor
  • Tak to super, diky za info, hned jsem chytrejsi !
    Nastesti to vypada u me dobre, skouknu to o hlavnim tahu vyuky ;-)

    Kazdopadne myslim ze toto to asi nebude, kolega zkousel vice serveru a ze kazdy by se takto choval, to mi nepripada na nic s HW, maximalne sitovky klientskych pc, ci switche. ... Aspon jak nad tim premejslim a vzpominam co kdy sem resil .. ..

    No uvidime jak se kolega vyjadri na to "zatuhavani" a co udela ten nod .. ..
    15. října 2009 14:05
  • Střední doba fronty disku je teď prakticky na nule, občas mírně poskočí max. na 10. Ale teď už tady nikdo není, tak budu muset počkat do zítřka.
    15. října 2009 14:05
  • To zatuhávání: na stanici se projeví tak, že všchny PC přestanou reagovat. Jdu se podívat na server, ten také nereaguje na myš ani klávesnici. Po tvrdém resetu serveru stanice samy ožijí a pokračují normálně v rozdělané práci.
    15. října 2009 14:08
  • V logu stanic je neco o nedostupnosti DC?

    MP
    15. října 2009 14:19
    Moderátor
  • To zatuhávání: na stanici se projeví tak, že všchny PC přestanou reagovat. Jdu se podívat na server, ten také nereaguje na myš ani klávesnici. Po tvrdém resetu serveru stanice samy ožijí a pokračují normálně v rozdělané práci.
    Presne takhle mi to reagovalo, kdyz mi nekdo zkratoval switch !! (propojil kabelem z portu do portu a ten kabel navic byl spatnej)

    Pokud jsou servery HW ruzne a chovaji se vzdy stejne, server vylucujeme (tudiz i diskovy subsystem).. ..

    - co ten NOD, uz sel pryc ze serveru ??
    - zkuste pokud tohle presne nastane , tak odpojit ucebnu(switch). ... ozivi se server nebo stanice ?

    Pokdu toto nepomuze tak:
    - projevi se to i u jedne jedine stanice ?
    - pokud ne, zkuste tu ucebnu rozjet postupne .. .. nejde vypozorovat ktery PC to zpusobi ? (pak by byla vadna sitovka mozna na stanici a ta sejme sit )


    15. října 2009 14:41
  • Na chvíli jsem se odmlčel. Nod je pryč, dal jsem tam 30denní serverovou verzi avast. Budu sledovat dění i logy na stanicích, zkusím při zatuhnutí odpojit od switche, tak jak jste mi radili. Ozvu se jakmile něco konkrétního vypozoruju.
    Pane Janečku, můžu s Vámi navázat spojení e-mailem?
    17. října 2009 8:49
  • Urcite, rad pomohu jak to pujde, ikdyz pan Pragl je podstatne fundovanejsi. ...
    Muj e-mail: spravce at vos-sps-jicin dot cz

    19. října 2009 5:57