Ломали ломали...
...да не выломали.
В последнее время на основном компе стала наблюдаться интенсивная утечка памяти, которая за время от 20 минут до нескольких часов приводила к необходимости перезагрузки компа. Process explorer ясности не добавил. Память чем-то отжиралась, но в списке процессов этого чего-то то ли не было, то ли не было видно. memmap ясности тоже особо не добавил, по нему было видно только разросшийся до неприличия, занимающий всю оперативку и своп pageable pool. Как бы стало ясно, что это скорее всего не кривые дрова, они бы отжирали nonpageable, но что тогда? Пришлось браться за тяжёлую артиллерию в виде утилиты poolmon.
Как оказалось, память отдиралось чем-то с тэгом TOKE. Гугленье показало, что это что-то, касающеся авторизации и безопасности. Из траблшутинга была рекомендация, что если у вас на сервере отжирается этот пул, уменьшите количество субъектов безопасности на этом сервере, как-то примерно так. Но у меня не сервер. АД на нём никто не поднимал, и 100500тыщ пользователей ко мне не ломятся. Стоп, а не ломятся ли?
Первым делом прогнал сканирование родным виндовым дефендером и DrWeb-овским CureIt-ом. Вроде чисто. Уфф... Ну ладно, и то хлеб. Брандмауэр стоит стандартный виндовый, который емнип детальными логами пользователей не балует, так что со стороны логов тоже особой информации не собрать. Так, что же это может быть, учитывая что пока я разбирался с проблемой мне раза 3 пришлось отребутить комп и несколько раз я поймал проблему в нетерминальной стадии. WTF?!
И тут я вспомнил, что не так давно я настроил port forwarding на сервачке для проброса RDP к компу. Хм... а не ломают ли меня часом?
Полез в логи rinnetd. Баааа.... лог забит сотнями запросов на соединение в час. Какая красота. Ради проформы глянул в auth.log. А там тоже всё очень красиво... постоянные запросы на соединение, с разными словарными пользователями, хотя в основном ломились конечно в рута. К счастью, ни одного подозрительного успешного коннекта с незнакомого IP я там в итоге не нашёл.
Уже весело. Перевесил sshd на нестандартный порт, наконец запретил авторизацию рута через ssh (да, я раздолбай). Вырубил нафиг portforwarding. C тех пор почти сутки - полет нормальный, утечек не зафиксировано. Надо будет ещё переделать авторизацию на сертификаты, но как-то лень, вроде и так работает. В ssh ломятся, но с куда как меньшей интенсивностью. Сервак этого не замечает в общем-то. А винда вот при интенсивной атаке ложилась минут за 20. Показательно как-то.
В последнее время на основном компе стала наблюдаться интенсивная утечка памяти, которая за время от 20 минут до нескольких часов приводила к необходимости перезагрузки компа. Process explorer ясности не добавил. Память чем-то отжиралась, но в списке процессов этого чего-то то ли не было, то ли не было видно. memmap ясности тоже особо не добавил, по нему было видно только разросшийся до неприличия, занимающий всю оперативку и своп pageable pool. Как бы стало ясно, что это скорее всего не кривые дрова, они бы отжирали nonpageable, но что тогда? Пришлось браться за тяжёлую артиллерию в виде утилиты poolmon.
Как оказалось, память отдиралось чем-то с тэгом TOKE. Гугленье показало, что это что-то, касающеся авторизации и безопасности. Из траблшутинга была рекомендация, что если у вас на сервере отжирается этот пул, уменьшите количество субъектов безопасности на этом сервере, как-то примерно так. Но у меня не сервер. АД на нём никто не поднимал, и 100500тыщ пользователей ко мне не ломятся. Стоп, а не ломятся ли?
Первым делом прогнал сканирование родным виндовым дефендером и DrWeb-овским CureIt-ом. Вроде чисто. Уфф... Ну ладно, и то хлеб. Брандмауэр стоит стандартный виндовый, который емнип детальными логами пользователей не балует, так что со стороны логов тоже особой информации не собрать. Так, что же это может быть, учитывая что пока я разбирался с проблемой мне раза 3 пришлось отребутить комп и несколько раз я поймал проблему в нетерминальной стадии. WTF?!
И тут я вспомнил, что не так давно я настроил port forwarding на сервачке для проброса RDP к компу. Хм... а не ломают ли меня часом?
Полез в логи rinnetd. Баааа.... лог забит сотнями запросов на соединение в час. Какая красота. Ради проформы глянул в auth.log. А там тоже всё очень красиво... постоянные запросы на соединение, с разными словарными пользователями, хотя в основном ломились конечно в рута. К счастью, ни одного подозрительного успешного коннекта с незнакомого IP я там в итоге не нашёл.
Уже весело. Перевесил sshd на нестандартный порт, наконец запретил авторизацию рута через ssh (да, я раздолбай). Вырубил нафиг portforwarding. C тех пор почти сутки - полет нормальный, утечек не зафиксировано. Надо будет ещё переделать авторизацию на сертификаты, но как-то лень, вроде и так работает. В ssh ломятся, но с куда как меньшей интенсивностью. Сервак этого не замечает в общем-то. А винда вот при интенсивной атаке ложилась минут за 20. Показательно как-то.