пропозиції роботи
konto usunięte
Piotr
Baranowski
RHCA, RHCSS, RHCDS,
RHCVA, RHCX,
CTO@OSEC.pl
Temat: named (bind) + clamav
Rafał Włodarczyk:
Przy znalezieniu wirusa zawiesza mi named'a - spotkaliscie sie z tym?
Say whaaaaat?
No bracie, musisz zapodać więcej szczegółów bo mnie zaintrygowałeś tym pytaniem :)
P.
konto usunięte
Temat: named (bind) + clamav
Na pocztatku myslalem ze to dns flappingaha w logach zero informacji
pozniej metoda prob i bledow okazalao sie ze powstaja w glownym zasobie na serwie pliki autorun.inf - scan antywirusowy wywalal to ale po chwili byl z powrotem, poradzilem sobie robiac veto na pliki .inf
wylaczylem clamAv na serwerze, przeskanowalem komputery w sieci i dopuki nie przyjechali handlowcy nic sie nie zawieszalo, przyjechal jeden wpial sie do systemu i wywalony named. Mowie co do k... wzialem lapka handlowca a tam wirus na wirusie, po usunieciu wirusow, named przestal sie wywalac. - Jak to mozliwe?
Moja teoria jest taka moze bledna, ze ktorys z tych wirusow (koni trojanskich, tudziez innego badziewia) stawial wlasny serwer dns i laczac sie z moim moj dostawal czkawki zwanej flapping, dziwne tylko to ze logi tego nie podazywaly.
Piotr
Baranowski
RHCA, RHCSS, RHCDS,
RHCVA, RHCX,
CTO@OSEC.pl
Temat: named (bind) + clamav
WOWOWO... Hold your horses...pokolei:Jak rozumiem jest tak:
Masz jakiegoś bind'a który robi ci za lokalny resolver i cache dla końcówek u biurze.
Masz do tego jakieś pudło na którym masz tandem samba + clamav (pewnie przez vscan-clamav), który skanuje ci śmieciowisko wrzucane z końcówek.
Co to znaczy "wywalony" named? Proces stoi i nie reaguje czy się wysypuje z jakimś komunikatem?
Spróbuj: strace'a, wyższe severity w sekcji logging w /etc/named.conf, odpal binda w FG i obserwuj. Bardzo wątpię, żeby ci ten bind tak bez słowa focha strzelił.
P.
Stanisław P. Software designer
Temat: named (bind) + clamav
Rafał Włodarczyk:Na pewno? A jak działa z -g? Jak działa z dodatkowym poziomem debug'a?
Na pocztatku myslalem ze to dns flapping
aha w logach zero informacji
pozniej metoda prob i bledow okazalao sie ze powstaja w glownym zasobie na serwie pliki autorun.inf - scan antywirusowy wywalal to ale po chwili byl z powrotem, poradzilem sobie robiac veto na pliki .infUsunąłeś efekt... może lepiej usunąć przyczynę - czyli to co te pliki tworzyło?
Moja teoria jest taka moze bledna, ze ktorys z tych wirusow (koni trojanskich, tudziez innego badziewia) stawial wlasny serwer dns i laczac sie z moim moj dostawal czkawki zwanej flapping, dziwne tylko to ze logi tego nie podazywaly.Flapping? Masz dwa serwery dns? Co się działo z tym drugim w takim razie?
Imho - spróbuj wycisnąć wszystkie logi jakie się da z bind'a, dodatkowo możesz włączyć accounting żeby zarejestrować ewentualne sygnały jakie go zabijają.
konto usunięte
Temat: named (bind) + clamav
Piotr Baranowski:1 serv to dhcp+dns+samba+ldap+apache
WOWOWO... Hold your horses...pokolei:
Jak rozumiem jest tak:
Masz jakiegoś bind'a który robi ci za lokalny resolver i cache dla końcówek u biurze.
Masz do tego jakieś pudło na którym masz tandem samba + clamav (pewnie przez vscan-clamav), który skanuje ci śmieciowisko wrzucane z końcówek.
vscan-clamav - tak
dns nie keszuje koncowek, trzyma tylko adresacje do stronn www
Co to znaczy "wywalony" named? Proces stoi i nie reaguje czy się wysypuje z jakimś komunikatem?Proces stoi i nie reaguje :) - tak wlasnie jest - moze dlatego niema logow
Spróbuj: strace'a, wyższe severity w sekcji logging w /etc/named.conf, odpal binda w FG i obserwuj. Bardzo wątpię, żeby ci ten bind tak bez słowa focha strzelił.zrobie jak mowisz
P.
Piotr
Baranowski
RHCA, RHCSS, RHCDS,
RHCVA, RHCX,
CTO@OSEC.pl
Temat: named (bind) + clamav
Rafał Włodarczyk:
dns nie keszuje koncowek, trzyma tylko adresacje do stronn www
Co to znaczy po polsku?
P.
konto usunięte
Temat: named (bind) + clamav
tzn ze nie jest to dynamiczny DNStzn trzyma jakies adresy stron wpisane z palca i forwarduje wszelkie nieznane pakiety na zewnetrzny dns.
ps
po tym jak zatrzyma sie jego dzialanie cpu(0,1) ,maja 100% zajetosci
named restart - niemozliwe do wykonania
kill -9 named
named restart - przywraca zycieRafał Włodarczyk edytował(a) ten post dnia 01.10.10 o godzinie 14:43
Piotr
Baranowski
RHCA, RHCSS, RHCDS,
RHCVA, RHCX,
CTO@OSEC.pl
Temat: named (bind) + clamav
Rafał Włodarczyk:
tzn ze nie jest to dynamiczny DNS
dynamic dns != caching nameserver i od tego zacznijmy :)
tzn trzyma jakies adresy stron wpisane z palca i forwarduje wszelkie nieznane pakiety na zewnetrzny dns.
ps
po tym jak zatrzyma sie jego dzialanie cpu(0,1) ,maja 100% zajetosci
co na to strace? 100% cpu usage w trybie user/sys/iowait?
Ktory proces trzyma to cpu?
named restart - niemozliwe do wykonania
kill -9 named
named restart - przywraca zycie
Looks like we might have a buuuug heeere :)
P.
konto usunięte
Temat: named (bind) + clamav
Piotr Baranowski:w logach nie moge ci powiedziec gdyz od kiedy usunalem wirusy w sieci named jest stabilny.
Rafał Włodarczyk:
tzn ze nie jest to dynamiczny DNS
dynamic dns != caching nameserver i od tego zacznijmy :)
tzn trzyma jakies adresy stron wpisane z palca i forwarduje wszelkie nieznane pakiety na zewnetrzny dns.
ps
po tym jak zatrzyma sie jego dzialanie cpu(0,1) ,maja 100% zajetosci
co na to strace? 100% cpu usage w trybie user/sys/iowait?
Ktory proces trzyma to cpu?
ktory proces trzymal - namedRafał Włodarczyk edytował(a) ten post dnia 01.10.10 o godzinie 15:49
Piotr
Baranowski
RHCA, RHCSS, RHCDS,
RHCVA, RHCX,
CTO@OSEC.pl
Temat: named (bind) + clamav
Rafał Włodarczyk:
Piotr Baranowski:w logach nie moge ci powiedziec gdyz od kiedy usunalem wirusy w sieci named jest stabilny.
Rafał Włodarczyk:
tzn ze nie jest to dynamiczny DNS
dynamic dns != caching nameserver i od tego zacznijmy :)
tzn trzyma jakies adresy stron wpisane z palca i forwarduje wszelkie nieznane pakiety na zewnetrzny dns.
ps
po tym jak zatrzyma sie jego dzialanie cpu(0,1) ,maja 100% zajetosci
co na to strace? 100% cpu usage w trybie user/sys/iowait?
Ktory proces trzyma to cpu?
ktory proces trzymal - namedRafał Włodarczyk edytował(a) ten post dnia 01.10.10 o godzinie 15:49
Jak mniemam to jakaś odmiana suse? Sprawdziłeś ich odpowiednik bugzilli czy nie ma jakiegoś otwartego błędu? System jest w pełni zaktualizowany?
P.
konto usunięte
Temat: named (bind) + clamav
takto opensuse 11.1 czy jest zaktualizowany - nie poniewaz widzialem jak jak dziala a wlasciwie nie dziala suse 11.3 wiec na tyle na ile dziala adziala w miare dobrze, musi narazie dzialac, pozniej zrobie to na innej dystrybucji. Teraz z braku czasu i braku backupa musi byc jak jest.Opensuse jest strasznie nie rowny, cos sie uaktualni to przestaje dzilac cos innego wole poczekac.Rafał Włodarczyk edytował(a) ten post dnia 01.10.10 o godzinie 21:19
konto usunięte
Temat: named (bind) + clamav
No named na opensuse skonczyl sietzn padl dzis na maxa, naszczescie na mint-ciemialem slave przepiolem wszystkich na niego, zrobie teraz upgrade nameda na suse jakzadzialato dobrze jak nie postawie na starym rupciu dns'a
Rafał W. hmmm
Temat: named (bind) + clamav
po upgrade named dziala bez zajakniecia :)
Następna dyskusja:
