Postări
joi seara, pe cand plecam de la birou, tocmai ce auzisem clantanitul pe care il face laptopul la inchidere... cand... primesc un telefon. cineva nu putea accesa niste fisiere de pe un server. cu un sfert de ora mai devreme avusese aceeasi problema si o rezolvasem. dar vazusem o eroare urata pe serverul cu pricina. cu 'win 32 generic host 32'.... ca la virusii de pe vremuri. redeschid laptopul, intru pe server, problema reaparea!
apoi aflu ca se blocheaza conturile de domeniu! intru pe unul din serverele de domeniu... si transpir instantaneu (fara exagerare): aceeasi eroare 'win 32 generic host' bla-bla.
ma uit in evenimente... totul era rosu - cosmar!
laptopul de teste de pe biroul meu incepe sa bingane din cand in cand, ca si cum ar detecta un drive. brusc ii dau o scanare antivirus. el brusc gaseste virus (worm). W32.Downadup ( sub numele asta apare la symantec, la altii are alte nume)
dau alarma. un coleg se suie in masina si vine. face naveta din ploiesti (valenii de munte).
pana ajunge, gasesc documentatia aferenta lui. si un removal aferent. desi la inceput am citit ca e de risc 'low', am descoperit ca in conditiile unui domeniu devine dureros. dupa ce ajunge colegu' incepe bairamu'. inchidem ISA (serverul de internet prin care ies userii) si serverul de mail. seful ne'a zis sa mai tragem din priza cat mai multe switch'uri, dar ca sa facem asta fara omul de la network... ar fi fost pe jumatate loz in plic si oricum ar fi durat f mult timp sa detectam care si ce tine. asa ca am sarit peste desi ca principiu ar fi fost o chestie inteligenta. rulam removal'ul pe toate serverele (unele se incapatanau), gasim worm'ul pe cateva dintre ele, apoi rulam si patch'ul de securitate de la microsoft care inchidea bresa de securitate folosita de uratenia asta. si symantec pe toate.
conturile se blocau intr'o veselie. la inceput mai mult conturile care contineau in nume 'admin' sau 'sys', apoi fara diferentiere, tot ce exista.
riscam sa ramanem in afara domeniului! am scos screen saver'ul de la laptop am deschis pe ambele de pe biroul meu tool'uri de management conturi, ma asigur ca raman deschise si accesibile... si'am inceput sa stau. teoretic colegu' venit era in charge (ca e mai studios din fire). si asteptam sa decida urmatorul pas. in domeniu era debandada totala. erau incercate parole pentru toate conturile, drept care se blocau intr'o veselie.
am asteptat pana cand m'a lovit damblaua. dupa care i'am zis ce am eu de gand sa fac si am plecat in firma. el a venit cu mine.
si am luat ad labam toate computerele din firma, le scoteam din retea, rulam removal'ul, apoi aplicam patch'ul microsoft. 70-80% erau afectate. noroc ca avem vlan'uri si wormul asta nu sarea in alta clasa. adica jumatate din computere nu erau amenintate. asa s'a facut 7 dimineata. au inceput oameni sa vina in firma. eu m'am apucat sa deblochez conturile. cateva sute. cand am ajuns la coada, deja dintre primele erau din nou blocate. pana mea. le'am lasat asa. sa ne sune cei care se logheaza. aveam niste frisoane dureroase prin corp cum nici in armata nu am cunoscut. si nu imi prea mai era clar cine eram si ce faceam.
acum conturile se blocau enervant de rapid, dracu mai intelegea de ce, insa logurile de evenimente de pe servere nu mai raportau erori. asa ca de ce pana mea se blocau, daca nu erau logari nereusite? puii mei! totusi imi dau seama de ce inca avem probleme desi am rulat minunatiile alea: pe colegu' care se ocupa de bucuresti il doare la basca. si nu face update'uri de securitate pentru sisteme, ba chiar sunt sisteme care nu au nici un fel de antivirus pe el. pai sa nu'i sparg capu'?
pe la 9 dau un mail informativ catre toata lumea. sa stie ca sunt probleme, ca n'au internet, bla-bla.
vin oameni proaspeti - ceilalti colegi. dar in virtutea lui 'nu stiu - nu ma bag', au venit degeaba. vorbim si cu departamentul 'frate' din multinationala in care ne lipim... hotaram sa facem un deployment cu noul antivirus de la ei, folosind politici de domeniu... si stau. trebuia nascuta politica de domeniu cu scriptul de deploy si noul server antivirus. cum il cunosc pe mon colegue ca asculta ce'i spun dar face numa ce citeste in documentatii l'am lasat in pace. sa fie el din nou in charge.
uite'asa zi de vara pana'n seara s'a facut ora 2 dupa'masa. m'am dus la el, s'au mai strans cativa in jurul nostru. i'am zis cum am facut saptamana trecuta doua politici de domeniu cu scripturi (care by the way, chiar el se mira ca au mers mai bine decat oricare din cele facute de el). il vad ca incepe sa'mi puna documentatii in fata, in care 'mai totusi aici scrie ca...'. ma fut pe ele de documentatii! n'am dormit de 24 de ore, suntem in criza, iar noi in loc sa testam, o frecam aiurea si ne dam cu parerea, si facem analize abstracte! imi bag picioarele si ma duc la mine la birou. dau buletine informative la fiecare juma' de ora, deblochez conturi non-stop, chestii de minima sustinere in viata.
dupa inca o ora ma ridic, intreb care sunt coordonatele noului server antivirus. hotarat sa ma duc sa fac manual instalarea pe cele 4-5 departamente afectate. seful intervine, vrea sa se lucreze unitar. explicatii discutii, le spu ca daca eram odihniti si fara situatie de criza faceam elegant si inteligen deployment. insa in conditiile astea... neuronul meu nu mai functioneaza suficient ca sa fac chestii frumoase. asa ca fac mai simplu, dar bine. plecam cu totii sa facem ce am propus eu. pe la 7-8 seara devin teleghidat. fac un computer muci. trec la urmatorul. terminam pe la 9.
muncesc de cca 30-35 de ore. in afara de mersul nesigur si foamea pe care o simt uneori in capul pieptului, totul e ok. ba chiar am un boom de energie de zile mari. am gasit o chitara printr'un birou, am pus putin mana pe ea, colegii au facut ochii mari. nu se asteptau sa se ocupe cu d'astea tipul irascibil, serios tot timpul, cu care nu poti sa futi timpul la taclale la tigara...
conturile nu se mai blocheaza. tipul dela network verifica cu un wireshark daca mai sunt atacuri prin retea, mai gasim vreo doua statii care oricum erau in lucru. URA!
ne'am deconectat. rad aproape necontrolat. dau mailul de informare ca s'a iesit din criza. ne'a luat fix 24 de ore din momentul detectarii problemei.
ne'am strans aproape toti intr'un birou, oamenii s'au dat la barfa. seful ma trimite acasa. ma si imbratiseaza in treacat. un coleg ma intraba o chestie tehnica cu care isi bate capul de ceva vreme. nu stiu precis, dar ma asez la computer si in 5 secunde ii arat unde se gaseste ce ma intreba. au facut toti ochii mari, inclusiv sefu si'a aruncat un ochi sa verifice ca am raspuns chiar pe bune. ce'i drept nici eu nu ma asteptam sa gasesc rezolvarea atat de repede. noroc cu intuitia asta a mea.
am plecat. vineri la 9 jumate. venit la birou joi pe la 11. ninge demential. cu fulgi mari cat nuca. ma simt excelent. as vrea o baie, un film si un masaj. masaj n'avem de unde.
ieri l'am vazut la stiri pe wormul care ne'a vizitat si pe noi. a trecut si pe la BRD si Rompetrol.
acum. va recomand tuturor sa rulati doua chestii:
- un tool care detecteaza si inlatura uratenia aia ( de la Symantec)
- un patch de la Mirosoft care inchide usa pe viitor uratului ala. (asta e pentru XP, se gasesc pentru fiecare sistem in parte)
- daca primiti mesaj ca a gasit ceva symantecul, trebuie sa dezactivati system restore, il scoateti din retea, rulati din nou smecheria, pana cand iese curat - eventual in safe mode.
totusi, daca nu aveti parola pe computer si nu aveti facute up-date'urile minime de securitate pentru windows... este dejaba. tocmai v'ati ridicat computerul la rang de obiect cvasiinutil a carui principala activitate este de a ataca alte computere din zona si de a trimite spamuri. iar printre picaturi mai raspunde si click'urilor voastre, asa, ca sa nu aveti impresia ca pierdeti timpul in fata lui chiar degeaba.
ps. inca nu mi'am revenit din oboseala... la varsta asta incep sa treaca mai greu efectele unei nopti nedormite...
apoi aflu ca se blocheaza conturile de domeniu! intru pe unul din serverele de domeniu... si transpir instantaneu (fara exagerare): aceeasi eroare 'win 32 generic host' bla-bla.
ma uit in evenimente... totul era rosu - cosmar!
laptopul de teste de pe biroul meu incepe sa bingane din cand in cand, ca si cum ar detecta un drive. brusc ii dau o scanare antivirus. el brusc gaseste virus (worm). W32.Downadup ( sub numele asta apare la symantec, la altii are alte nume)
dau alarma. un coleg se suie in masina si vine. face naveta din ploiesti (valenii de munte).
pana ajunge, gasesc documentatia aferenta lui. si un removal aferent. desi la inceput am citit ca e de risc 'low', am descoperit ca in conditiile unui domeniu devine dureros. dupa ce ajunge colegu' incepe bairamu'. inchidem ISA (serverul de internet prin care ies userii) si serverul de mail. seful ne'a zis sa mai tragem din priza cat mai multe switch'uri, dar ca sa facem asta fara omul de la network... ar fi fost pe jumatate loz in plic si oricum ar fi durat f mult timp sa detectam care si ce tine. asa ca am sarit peste desi ca principiu ar fi fost o chestie inteligenta. rulam removal'ul pe toate serverele (unele se incapatanau), gasim worm'ul pe cateva dintre ele, apoi rulam si patch'ul de securitate de la microsoft care inchidea bresa de securitate folosita de uratenia asta. si symantec pe toate.
conturile se blocau intr'o veselie. la inceput mai mult conturile care contineau in nume 'admin' sau 'sys', apoi fara diferentiere, tot ce exista.
riscam sa ramanem in afara domeniului! am scos screen saver'ul de la laptop am deschis pe ambele de pe biroul meu tool'uri de management conturi, ma asigur ca raman deschise si accesibile... si'am inceput sa stau. teoretic colegu' venit era in charge (ca e mai studios din fire). si asteptam sa decida urmatorul pas. in domeniu era debandada totala. erau incercate parole pentru toate conturile, drept care se blocau intr'o veselie.
am asteptat pana cand m'a lovit damblaua. dupa care i'am zis ce am eu de gand sa fac si am plecat in firma. el a venit cu mine.
si am luat ad labam toate computerele din firma, le scoteam din retea, rulam removal'ul, apoi aplicam patch'ul microsoft. 70-80% erau afectate. noroc ca avem vlan'uri si wormul asta nu sarea in alta clasa. adica jumatate din computere nu erau amenintate. asa s'a facut 7 dimineata. au inceput oameni sa vina in firma. eu m'am apucat sa deblochez conturile. cateva sute. cand am ajuns la coada, deja dintre primele erau din nou blocate. pana mea. le'am lasat asa. sa ne sune cei care se logheaza. aveam niste frisoane dureroase prin corp cum nici in armata nu am cunoscut. si nu imi prea mai era clar cine eram si ce faceam.
acum conturile se blocau enervant de rapid, dracu mai intelegea de ce, insa logurile de evenimente de pe servere nu mai raportau erori. asa ca de ce pana mea se blocau, daca nu erau logari nereusite? puii mei! totusi imi dau seama de ce inca avem probleme desi am rulat minunatiile alea: pe colegu' care se ocupa de bucuresti il doare la basca. si nu face update'uri de securitate pentru sisteme, ba chiar sunt sisteme care nu au nici un fel de antivirus pe el. pai sa nu'i sparg capu'?
pe la 9 dau un mail informativ catre toata lumea. sa stie ca sunt probleme, ca n'au internet, bla-bla.
vin oameni proaspeti - ceilalti colegi. dar in virtutea lui 'nu stiu - nu ma bag', au venit degeaba. vorbim si cu departamentul 'frate' din multinationala in care ne lipim... hotaram sa facem un deployment cu noul antivirus de la ei, folosind politici de domeniu... si stau. trebuia nascuta politica de domeniu cu scriptul de deploy si noul server antivirus. cum il cunosc pe mon colegue ca asculta ce'i spun dar face numa ce citeste in documentatii l'am lasat in pace. sa fie el din nou in charge.
uite'asa zi de vara pana'n seara s'a facut ora 2 dupa'masa. m'am dus la el, s'au mai strans cativa in jurul nostru. i'am zis cum am facut saptamana trecuta doua politici de domeniu cu scripturi (care by the way, chiar el se mira ca au mers mai bine decat oricare din cele facute de el). il vad ca incepe sa'mi puna documentatii in fata, in care 'mai totusi aici scrie ca...'. ma fut pe ele de documentatii! n'am dormit de 24 de ore, suntem in criza, iar noi in loc sa testam, o frecam aiurea si ne dam cu parerea, si facem analize abstracte! imi bag picioarele si ma duc la mine la birou. dau buletine informative la fiecare juma' de ora, deblochez conturi non-stop, chestii de minima sustinere in viata.
dupa inca o ora ma ridic, intreb care sunt coordonatele noului server antivirus. hotarat sa ma duc sa fac manual instalarea pe cele 4-5 departamente afectate. seful intervine, vrea sa se lucreze unitar. explicatii discutii, le spu ca daca eram odihniti si fara situatie de criza faceam elegant si inteligen deployment. insa in conditiile astea... neuronul meu nu mai functioneaza suficient ca sa fac chestii frumoase. asa ca fac mai simplu, dar bine. plecam cu totii sa facem ce am propus eu. pe la 7-8 seara devin teleghidat. fac un computer muci. trec la urmatorul. terminam pe la 9.
muncesc de cca 30-35 de ore. in afara de mersul nesigur si foamea pe care o simt uneori in capul pieptului, totul e ok. ba chiar am un boom de energie de zile mari. am gasit o chitara printr'un birou, am pus putin mana pe ea, colegii au facut ochii mari. nu se asteptau sa se ocupe cu d'astea tipul irascibil, serios tot timpul, cu care nu poti sa futi timpul la taclale la tigara...
conturile nu se mai blocheaza. tipul dela network verifica cu un wireshark daca mai sunt atacuri prin retea, mai gasim vreo doua statii care oricum erau in lucru. URA!
ne'am deconectat. rad aproape necontrolat. dau mailul de informare ca s'a iesit din criza. ne'a luat fix 24 de ore din momentul detectarii problemei.
ne'am strans aproape toti intr'un birou, oamenii s'au dat la barfa. seful ma trimite acasa. ma si imbratiseaza in treacat. un coleg ma intraba o chestie tehnica cu care isi bate capul de ceva vreme. nu stiu precis, dar ma asez la computer si in 5 secunde ii arat unde se gaseste ce ma intreba. au facut toti ochii mari, inclusiv sefu si'a aruncat un ochi sa verifice ca am raspuns chiar pe bune. ce'i drept nici eu nu ma asteptam sa gasesc rezolvarea atat de repede. noroc cu intuitia asta a mea.
am plecat. vineri la 9 jumate. venit la birou joi pe la 11. ninge demential. cu fulgi mari cat nuca. ma simt excelent. as vrea o baie, un film si un masaj. masaj n'avem de unde.
ieri l'am vazut la stiri pe wormul care ne'a vizitat si pe noi. a trecut si pe la BRD si Rompetrol.
acum. va recomand tuturor sa rulati doua chestii:
- un tool care detecteaza si inlatura uratenia aia ( de la Symantec)
- un patch de la Mirosoft care inchide usa pe viitor uratului ala. (asta e pentru XP, se gasesc pentru fiecare sistem in parte)
- daca primiti mesaj ca a gasit ceva symantecul, trebuie sa dezactivati system restore, il scoateti din retea, rulati din nou smecheria, pana cand iese curat - eventual in safe mode.
totusi, daca nu aveti parola pe computer si nu aveti facute up-date'urile minime de securitate pentru windows... este dejaba. tocmai v'ati ridicat computerul la rang de obiect cvasiinutil a carui principala activitate este de a ataca alte computere din zona si de a trimite spamuri. iar printre picaturi mai raspunde si click'urilor voastre, asa, ca sa nu aveti impresia ca pierdeti timpul in fata lui chiar degeaba.
ps. inca nu mi'am revenit din oboseala... la varsta asta incep sa treaca mai greu efectele unei nopti nedormite...
Niciun comentariu:
Trimiteți un comentariu
spui, semnezi.