none
DNS modificati durante mancanza di corrente elettrica RRS feed

  • Domanda

  • Buongiorno,

    non so se è il topic esatto perché non ho ancora individuato chi è la causa:

    Ieri abbiamo avuto dei problemi elettrici nel quadro elettrico che ha generato degli spegnimenti degli uffici ma non nel ced che è ovviamente sotto ups.

    Invece i client desktop tradizionali non sono protetti e questi si sono spenti mentre i portatili avendo la batteria hanno continuato a lavorare regolarmente.

    Nel dettagli sotto UPS c'è la SAN e quindi tutti server virtuali e tutti gli switch, firewall, router.

    La nostra rete è composta da due server virtuali windows 2003 (uno è R2 mentre l'altro no) che sono rispettivamente l'AD primario e secondario.

    Tutti i client sono in dominio ed hanno come DNS i due AD.

    Quando è ritornata la corrente elettrica due utenti mi hanno chiamato perché avevano problemi ad accedere alle cartelle di rete sui server.

    Il primo client che ha presentato il problema è un Windows XP sp3 installato su un desktop, quindi quando è andata via la corrente questo si è spento. Ho analizzato il problema e ho scoperto che la scheda di rete aveva come DNS non più gli AD ma degli IP esterni che non conosco:

    176.31.229.24 e 176.31.229.25

    All'inizio ho pensato che la mancanza improvvisa di rete aveva scombussolato il PC ma poi quando ho visto che l'altro client era un portatile che quindi non aveva subito lo shock ho capito che c'è qualcos'altro.

    Il portatile monta windows 7 sp2 ed a cneh questo aveva nella scheda di rete gli stessi IP impostati.

    Googlando questi IP viene fuori che alcuni si sono già ritrovati questi IP, qualcuno parla di software che possono averli settati in automatico ma a parte che questi due client operano in ambiti diversi e a parte office non hanno altri software in comune ma perché proprio quando è andata via la corrente si è manifestato il problema?

    Insomma adesso tutto funziona correttamente ma spero che qualcuno conosca già il problema e possa indicarmi qual'è la causa e se ci sono soluzione.

    Grazie, ciao.

    martedì 13 novembre 2012 09:17

Risposte

Tutte le risposte

  • dai un'occhiata qui

    http://www.windoctor.it/virus/accesso-al-176-31-229-24/


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    martedì 13 novembre 2012 10:37
    Moderatore
  • I due indirizzi IP sembrano appartenere effettivamente a DNS malevoli.

    Solitamente questo si verifica a causa di software che possono essere eseguiti o installati (nel profilo, quindi anche senza avere privilegi particolari) dall'utente, quelli più frequenti sono le varie toolbar dei browser ma ci sono anche i DNS Changer (qui trovi una discussione in merito http://social.technet.microsoft.com/Forums/it-IT/windows7italian/thread/1e01a01d-7ad2-48f5-b551-1662985923cc/ )..

    Il fatto che tu ti sia accorto del problema solo dopo il problema elettrico a mio parere è solo un caso: probabilmente quei client stavano utilizzando quei DNS già da un pò di tempo ma apparentemente lato utente non causavano problemi quindi non ti avevano contattato.



    martedì 13 novembre 2012 11:07
    Moderatore
  • Grazie,

    allora è solo un problema di DNS contenuti nella cache. La cosa strana è che è sempre lo stesso IP. 

    Grazie.

    martedì 13 novembre 2012 11:09
  • Si, i due indirizzi IP sembrano puntare effettivamente a DNS malevoli.

    Solitamente questo si verifica a causa di software che possono essere eseguiti o installati (nel profilo, quindi anche senza avere privilegi particolari) dall'utente, quelli più frequenti sono le varie toolbar dei browser ma ci sono anche i DNS Changer (qui trovi una discussione in merito http://social.technet.microsoft.com/Forums/it-IT/windows7italian/thread/1e01a01d-7ad2-48f5-b551-1662985923cc/ ).

    Il fatto che tu ti sia accorto del problema solo dopo il problema elettrico a mio parere è solo un caso: probabilmente quei client stavano utilizzando quei DNS già da un pò di tempo ma apparentemente lato utente non causavano problemi quindi non ti avevano contattato.


    mmm io ho ipotizzato che la mancanza di corrente ha indotto l'OS ha ricercare i DNS dato che quelli impostati erano andati off-line ed ha trovato questi nella cache. Invece il fatto che già li utilizzassero mi pare molto strano perché sennò avrebbero continuato a funzionare. Confermo che le toolbar possono essere quelle incriminate, questi due utenti hanno una forte propensione a cliccare si a tutto quello che appare sullo schermo.

    Cmq grazie dei suggerimenti, molto probabilmente farò un flush generale per fare un po' di pulizia.

    Grazie, ciao.

    martedì 13 novembre 2012 11:13
  • andrebbe sempre approfondita l'indagine per capire da dove arrivino quelle modifiche alle chiavi di registro.

    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    martedì 13 novembre 2012 12:20
    Moderatore