Category: криминал

Category was added automatically. Read all entries about "криминал".

Микротик

Стоит Микротик 951Ui-2HnD, раздает инет, в конфиге ничего особенного нет все в общем-то стандартно, с год работало все без проблем, конфиг не менялся - микротик начал выпадать из сети, когда на 20 секунд, когда на пару минут, затем сам возвращается. Может целый день нормально работать, может 3-5 раз в день отваливаться. (отваливания бывают в том числе и ночью когда никто не работает и большая часть сети выключена) В это время соответственно не работает инет, сетка - работает.

Есть два умных свитча, один воткнут в микротик, второй свич воткнут в первый, когда микротик перестает пинговаться - на веб-морды обоих свитчей можно зайти, конфиги у свитчей стандартные, я только добавил один vlan.

Все оборудование подключено через ИБП, в серверной не жарко.

Микротику пробовал обновить RoS до 6,40 - не помогло, откатывал конфиг на сохраненный в начале года то же самое. Когда Микротик делает вид что не в сети и не пингуется по айпи, винбокс на него легко заходит по маку, в логах микротика - никакого криминала нет.

Куда можно глядеть?
Если нужна доп. инфа - напишите что, предоставлю. Спасибо за ответы.

По ссылке файл из wireshark во время когда микротик(192.168.1.100) перестает пинговаться с 192.168.1.200

UPD: Всем большое спасибо за помощь, проблема похоже решена дело оказалось в Микротиковской Neighbors, выключил ее на большинстве интерфейсов - разрывы стали меньшими по времени и более редкими, отрубил на всех интерфейсах - пропали вовсе. Почти сутки ни единого разрыва)) если пост больше не обновится значит проблема решена.
seeyou

[РЕШЕНО] убийство долгих запросов

Товарищи, поделитесь опытом.
Сколько может занимать по времени удаление ~350M записей в MySQL (InnoDB)? А то работает такой запрос уже где-то 30 часов, и нехорошие мысли об убийстве запроса лезут в голову. СтОит, не стОит? Запрос обычный, без commit-а.

UPD:

запрос начался 2017 Jun 29 10:47:27, завершился 2017 Jul 2 08:39:19.

для слежки за процессом нужно было видеть конец вывода команды SHOW INNODB STATUS\G, но из-за ограничений на вывод в консоль и обрезания конца лога было сделано следующее:

CREATE TABLE innodb_monitor (a INT) ENGINE=InnoDB;

после этого вывод INNODB STATUS с периодичностью попадал в стандартный лог mysql, где можно было видеть про запрос следующее:


---TRANSACTION 1 4141054098, ACTIVE 191816 sec, OS thread id 36004918272 updating or deleting, thread declared inside InnoDB 84
mysql tables in use 1, locked 1
686063 lock struct(s), heap size 88520688, undo log entries 229144332
MySQL thread id 56087872, query id 2202164550 1.1.1.2 database updating
DELETE
FROM table
WHERE UNIX_TIMESTAMP(moment) < 1498712335 - 365 * 86400
AND UNIX_TIMESTAMP(moment) > 0


спасибо svetasmirnova, подсказала что undo log entries это и есть количество записей, уже обработанных запросом. за этим пришло успокоение, и оставалось только немного (еще примерно 100М записей) подождать.

и ответ на вопрос - убивать или ждать - будет такой: убивать долгие запросы в случае InnoDB нужно с пониманием, что запрос будет откатываться. откат обычно длится дольше, чем сам запрос.
robot
  • craftwr

дырка в юпитере

Оригинал взят у craftwr в дырка в юпитере
During a recent internal code review, Juniper discovered unauthorized code in ScreenOS that could allow a knowledgeable attacker to gain administrative access to NetScreen® devices and to decrypt VPN connections. (link)

В ScreenOS обнаружили неавторизованный код, который позволяет расшифровывать в том числе VPN соединения и получить полный доступ к системе.
Дырка была обнаружена в результате внутреннего аудита.
Лечение, перепрошивка оборудования и сброс настроек. Ибо чревато тем, что злоумышленник может оставить в системе другие дырки для доступа.
lenta
  • zotoz

парсинг для Федерального списка экстремистских материалов

Помогите пожалуйста сделать скрипт на bash для формирования списка запрещенных URL и доменов.

Я заткнулся на этом этапе.

wget http://minjust.ru/ru/extremist-materials/rss | grep -o -i 'http://[^[:space:]]*' |grep -v minjust.ru |uniq

Hetzner: история одного взлома

Взлом начался очень давно, когда злоумышленники обнаружили уязвимую версию системы мониторинга Nagios, публичный интерфейс которой был доступен для клиентов.

Поленившись настроить элементарную защиту, которая запретила бы выкачку информации из сервера мониторнга — запрет исходящих соеденений, администраторы Hetzner дали возможность злоумышленникам скопировать базы данных с доступами.

Заразив web и ssh сервисы по стелс-технологии злоумышленники имели полный доступ уже без зависимости от версии системы мониторинга.

С помощью ssh они могли свободно заходить на служебные серверы Hetzner, а через web — сканировать данные о кредитных картах новы клиентов, так как в базе хранились только последние 4 цифры.

От слива самой базы взломщикам достались только пароли от виртуального хостинга, которые хранились в открытом виде.

Как давно была взломана система? Учитывая, что последний массовый взлом сайтов на Hetzner произошел 06.07.2012 — достаточно давно.

http://itclub.od.ua/blog/357.html
menolike
  • dadv

Надо больше гвоздиков

В продолжение темы.

Новой версией Регламента регистрации доменов третьего уровня предусмотрено, что Исполнитель вправе незамедлительно прекратить делегирование домена в целях пресечения незаконной деятельности, а также деятельности, наносящей ущерб третьим лицам, в том числе деятельности по распространению и рекламированию порнографических материалов, призывов к насилию, осуществлению экстремистской деятельности, свержению власти и др. Кроме того, незамедлительно может быть прекращено делегирование домена, используемого в целях деятельности, противоречащей общественным интересам, принципам гуманности и морали, оскорбляющей человеческое достоинство либо религиозные чувства и т.д.

При этом Регистратор вправе самостоятельно давать оценку деятельности Пользователя на предмет нарушения законодательства, в том числе в случаях, когда определение таких действий не закреплено нормативными актами.


Да здравствует левая пятка и её желания.

  • lukamud

Как я поймал хулигана использующего сеть Tor

Перед Новым Годом ко мне обратились с просьбой поймать злоумышленника, который сначала терроризировал фирму по электронной почте, отправляя письма похабного содержания через веб-интерфейсы бесплатных почтовиков, а потом начал постить хулиганские комменты в корпоративном блоге в ЖЖ.

 Одним из самых распространенных вариантов использования tor является связка Tor, Vidalia, Firefox+Torbutton.

Установив Tor, и внимательно посмотрев на вкладку «Параметры соединения» я заметил, что в настройках по умолчанию не прописывается поле «FTP прокси», т.е. запросы по протоколу FTP браузер отправляет напрямую, а не через прокси-сервер, слушающий на порту 8118 и отправляющий запросы через сеть tor! Это обусловлено скорее всего тем, что tor не поддерживает протокол FTP? Это наблюдалось в последних версиях  ПО установленного на ОС MS Windows XP, Vista и Debian, Ubuntu.  

Collapse )

cacti

собственно, имеем несколько тысяч машинок в разных сетках, разных видов и.т.д.
требуется: мониторить всё и вся via snmp.
имеем отдельную машинку с кактей (таково требование тех, кто всё это затеял)
всё стоит, работает, прекрасно собирает данные, строит красивые графики, машинки потихоньку добавляются, оиды немыслимые вписываются, пропиетарные и не очень. после чего требуется для конечного пользователя, осуществляющего мониторинг, хорошенько(!!!) допилить представление огромного дерева и подписей на графиках. дерево управляется замечательно, фильтры и массовое выделение - гениальные инструменты при операциях над сотнями и тысячами графиков или хостов.

а вот с подписями грабли: меняем в graph management на отдельном графике какие-нибудь слова в легенде... и всё, rrdtool сходит с ума.

кактя последняя, платформа - win32, гугль и др. ничего внятного не дали, на форумах поддержки пользователей какти и на самом офф.сайте ничего близкого не нашел, бесконечные мануалы представляют из себя пошаговые хау-ту / рассказы "куда я тыкал мышью чтоб оно рисовало".

пока что изворачиваюсь путем "если добавил неверно - удалил всё и снова добавил как требуется" но... если в десяти хостах (на каждом по десять графиков) нарисовать не так как требуется (а это выясняется после "а как ОНО выглядит?") - это убийство.
вопрос: чо ей надо то??
спасибо.

upd: solved. reapply suggested names.
  • Current Mood
    confused confused

(no subject)

Добрый день. Возникла у меня непонятная ситуация, прошу помощи и разъяснений.
Дано: win сеть, 1 домен, 4 DC, 3 сайта.
Запускаю replmon (active directory replication monitor), подключаю один из dc и вижу следующую картину:

http://img150.imageshack.us/img150/344/repgz9.jpg

Кто такие "**DELETED SERVER" ? Откуда взялась информация о них и можно ли её как-то подчистить?
PS:В AD в контейнере "Domain Controllers" только мои четыре живых DC. ntdsutil показывает только существующие сайты и контроллеры в них.
PPS: Расспросив старожил данной организации, выяснил, что было несколько "failed" контроллеров, которые были просто удалены из AD без понижения ролей перед этим. Видимо это они. Вопрос, как и что, подчистить за этими трупами?




кросc пост в ru_sysadmins