[alef2474]

Цитата Petya V4sechkin:

Утечка в категории "Process Private" - потребление памяти отдельными процессами должно быть видно в "Диспетчере задач" невооруженным глазом. »

Невооруженным взглядом я не понимаю, куда берутся 6,5 Гб памяти. Прилагаю скрины procexplorer, а предыдущие удалю, т.к все равно никто не смотрел, а закачка ограничена.

читать дальше »

Цитата Petya V4sechkin:

Руссинович на TechEd2012 пропагандировал применение его утилит для обнаружения вирусов, а не пользование антивирусами Тут я совершенно не понял, к чему это было сказано »

Тут собираются майкрософт-любители и для них про Руссиновича все равно что про Ленина для коммунистов.
Он вообще-то прав, что вручную часто проще и надежнее искать.

Цитата exo:

очень напоминает KIDO... но в 2008 R2 ? Обновления все установлены? правда обновления есть только для 7-бета... выше не видел... с другой стороны, в сети может быть комп до 7-ки, с инициатором KIDO. »

Я обратил внимание, что предыдущий админ зачем-то поставил в автозапуск некоторых клиентских комп-ов старую лечилку Касперского от KIDO - KK.
Больше половины комп-ов с ХР. Неужели корпоративный Dr.Web и от KIDO не лечит?

Цитата cameron:

Это как? В безопасном режиме перенести из папки Tasks в другую папку? Я писал, что в планировщике они не отключаются. » странно что вы удалить не можете. ну откройте CMD от SYSTEM, а в ней уже что хотите то и делайте, в том числе и искомую консольку планировщика. »

Каждый что-то делал в первый раз, особенно с windows. Я никогда не запускал cmd в терминале из-под админской учетки от SYSTEM, не представляю что надо за пароль вводить для SYSTEM и как писать пользователя в окне запроса credentials: ИмяДомена\SYSTEM или ИмяСервера\SYSTEM или просто SYSTEM

Цитата cameron:

Интернетом пользуются не через сервер, а через маршрутизатор. » вы хотите пошутить? думаю что не стоит. »

Я не шучу, некоторые админы почему-то по старой привычке
пропускают и-нет траффик через сервер-шлюз на том же компе, где 1С база или DC, я так не делаю. Пользователи работают с и-нетом даже когда сервер в дауне.

Цитата cameron:

если пользователей не много, то файловая база может оказаться быстрей и дешевле. »

Файловые базы на 1С8.2 уже при числе пользователей больше 5-10 крайне тормозны и нестабильны. 1С8.2 заточен под SQL. А если есть еще и базы под 1С7.7, то пиши "пропало" без SQL. Бизнес не терпит технических проблем, главное бухгалтера и менеджеры по продаже, их проблемы.

Цитата brass_net:

Что значит - в темную...? Что по вашему серверные версии чем-то принципиально отличаются от просто клиентских ос? Дыры, которыми пользуются вири и методы поиска их одинаковы как для серверов, так и для клиентских ОС. »

По моему опыту серверные ОС очень существенно отличаются от клиентских.
"В темную" - значит я запускаю непонятную программу на сервере, за который отвечаю, отдаю логи неизвестным людям, эти люди что-то советуют еще запустить. И если после этого сервер не готов к работе, если люди случайно ошиблись, то меня увольняют, а мои дети голодают неопределенное время.

[cameron]

Цитата alef2474:

Тут собираются майкрософт-любители и для них про Руссиновича все равно что про Ленина для коммунистов. Он вообще-то прав, что вручную часто проще и надежнее искать. »

не хочу вас обидеть, но ручная ловля зверьков явно не для вас, даже с видеокастом Марка.

Цитата alef2474:

Каждый что-то делал в первый раз, особенно с windows. Я никогда не запускал cmd в терминале из-под админской учетки от SYSTEM, не представляю что надо за пароль вводить для SYSTEM и как писать пользователя в окне запроса credentials: ИмяДомена\SYSTEM или ИмяСервера\SYSTEM »

psexec -S -I cmd.exe

Цитата alef2474:

Я не шучу, некоторые админы почему-то по старой привычке пропускают и-нет траффик через сервер-шлюз на том же компе, где 1С база, я так не делаю. Пользователи работают с и-нетом даже когда сервер в дауне.»

тогда попробуйте прочитать мой пост ещё раз. я говорила о запрете интернета на этом сервере.

Цитата alef2474:

Файловые базы на 1С8.2 уже при числе пользователей больше 5-10 крайне тормозны и нестабильны. 1С8.2 заточен под SQL. А если есть еще и базы под 1С7.7, то пиши "пропало" без SQL. »

скажем так - 10-15 это как раз то число, которое работает нормально.

Цитата alef2474:

"В темную" - значит я запускаю непонятную программу на сервере, за который отвечаю, отдаю логи неизвестным людям, эти люди что-то советуют еще запустить. И если после этого сервер не готов к работе, то меня увольняют, а мои дети голодают неопределенное время. »

сколько пафоса...

полотенце rundll32.exe очень информативно, да.

[exo]

Цитата alef2474:

Больше половины комп-ов с ХР »

проверяйте их. наличие обновлений KB958644, KB957097 и KB958687 обязательны.

[brass_net]

Цитата alef2474:

По моему опыту серверные ОС очень существенно отличаются от клиентских. »

Но комментс...

Цитата alef2474:

отдаю логи неизвестным людям, эти люди что-то советуют еще запустить. И если после этого сервер не готов к работе, если люди случайно ошиблись, то меня увольняют, а мои дети голодают неопределенное время. »

Тогда не понятно зачем вы вообще сюда пришли и о чем-то спрашиваете у неизвестных вам людей, с подобным подходом? Тут же насоветуют всего, а потом дети голодными останутся...

Цитата alef2474:

Файловые базы на 1С8.2 уже при числе пользователей больше 5-10 крайне тормозны и нестабильны. 1С8.2 заточен под SQL. А если есть еще и базы под 1С7.7, то пиши "пропало" без SQL. Бизнес не терпит технических проблем, главное бухгалтера и менеджеры по продаже, их проблемы. »

Пруфлинк в студию и желательно от производителя, ибо 10-15 человек - это не определяющее условие для использования SQL, я наверно по глупости своей всегда считал размер баз и характер их нагрузки, тем фактором, который и будет определяющим в выборе файлового доступа, или SQL.

[alef2474]

Цитата cameron:

не хочу вас обидеть, но ручная ловля зверьков явно не для вас, даже с видеокастом Марка. »

Вообще-то уже 10 лет этим занимаюсь, когда разные антивиры пропускают. А Марк подтвердил правильность подхода.

Цитата cameron:

тогда попробуйте прочитать мой пост ещё раз. я говорила о запрете интернета на этом сервере »

Никто с сервера и-нетом не пользуется, сервер для 1С и файлов.

Цитата cameron:

скажем так - 10-15 это как раз то число, которое работает нормально. »

Все зависит от степени новизны сервера. Без терминалов сеть и клиентские комп-ы не потянут, имхо.

Цитата brass_net:

я наверно по глупости своей всегда считал размер баз и характер их нагрузки »

Размер базы очень быстро нарастает до 1 Гб у работающей фирмы, это как-то понятно.

Цитата cameron:

сколько пафоса... »

Цитата brass_net:

Тут же насоветуют всего, а потом дети голодными останутся.. »

Это - не пафос, это - жизнь, а многие от нее оторвались.
Я воплощаю в жизнь только безопасные советы.

Цитата cameron:

полотенце rundll32.exe очень информативно, да. »

Оно практически полное, вот скажите прямо: куда тратится 6,5 Гб? По сумме не получается. Причем на скрине на sql уходит 3,8 Гб, а сразу после рестарта вообще на все процессы меньше 3,8 Гб. SQL как-то завирусован?

[Petya V4sechkin]

Цитата alef2474:

Невооруженным взглядом я не понимаю, куда берутся 6,5 Гб памяти

Process Explorer -> меню View -> Select Columns -> вкладка Process Memory -> включите флажки "Private Bytes", "Virtual Size" и "Working Set Size".

Или в Диспетчере задач -> вкладка Процессы -> меню Вид -> Выбрать столбцы.
Что означают столбцы памяти диспетчера задач?

[alef2474]

Цитата cameron:

psexec -S -I cmd.exe »

Это не помогает, в запущенном планировщике удалось только остановить задания, а сделать их disabled не удается из-за возникающего сообщения,
см.скрин. Не все так просто в жизни, как думается.

Цитата Petya V4sechkin:

Или в Диспетчере задач -> вкладка Процессы -> меню Вид -> Выбрать столбцы. »

Если считать по пикам использования, то цифра выходит, но от снятия паразитных заданий АТ использование памяти сильно не уменьшается. Дело в чем-то другом. Сейчас вот перегрузил сервер и сразу использование памяти всего 2,4 Гб вместо 6,5 Гб до перезагрузки. Паразитные процессы не успели по расписанию запуститься, но дело не в них. Sqlserv.exe*32 занимает всего 0,4 Гб вместо 3,8 Гб до перезагрузки - вот главный потребитель памяти, которая почему-то не освобождается. Сколько ему положено потреблять непонятно.

[Petya V4sechkin]

Цитата alef2474:

Sqlserv.exe*32 занимает всего 0,4 Гб вместо 3,8 Гб до перезагрузки - вот главный потребитель памяти, которая почему-то не освобождается

Раз утечка в MS SQL, ставьте для него последний сервис-пак и все обновления.

Цитата alef2474:

сделать их disabled не удается из-за возникающего сообщения

Ну руками .job удалите.
Убедитесь, что пароль локального администратора (если учетная запись включена) нормальный, не 12345. Поскольку Kido для распространения использует не только уязвимости ОС, но и простейший брутфорс.

Для операционной системы тоже установите все критические обновления безопасности.
Скачайте kk.zip и прогоните на сервере.

Сделайте полную проверку с помощью Kaspersky Virus Removal Tool (бесплатно, не требует установки).
Удачи.

[alef2474]

Цитата Petya V4sechkin:

Раз утечка в MS SQL, ставьте для него последний сервис-пак и все обновления. »

SQL server версии 2000. Все обновления для него поставлены сразу. Дело в том, что он не освобождает память почему-то: если один раз запустить 1С и потом сразу выйти из 1С, то использование памяти SQL увеличивается на 8 Мб. А когда пользователи заходят по многу раз, да еще всякие отчеты запускают, то использование памяти должно расти с каждым днем.

Цитата Petya V4sechkin:

Ну руками .job удалите. Убедитесь, что пароль локального администратора (если учетная запись включена) нормальный, не 12345. Поскольку Kido для распространения использует не только уязвимости ОС, но и простейший брутфорс. »

Только что ходил ногами на сервер, чтобы удалить jobs. По справке к планировщику от Майкрософт надо перегрузить комп в безопасном режиме и тогда удалять, т.к. планировщик не запускается в безопасном режиме.
Тут меня ждал новый серьезный облом: при загрузке комп-а в безопасном режиме или в безопасном режиме с поддержкой сети он ждет ввода имени-пароля только около 5 сек, не успеть - потом сам идет на перезагрузку, могут ли быть шпионские программы, которые делают такую подлость, не дают загрузить безопасный режим?
Но как ни странно перенести jobs в другую папку удалось обычным образом под админским входом, а потом я перегрузил сервер и в списке доступных планировщика их уже нет. Под SYSTEM в планировщике они не удалялись, нажимаешь delete и ничего не происходит.

Цитата Petya V4sechkin:

Скачайте kk.zip и прогоните на сервере. »

Я, конечно, попробую. Но вообще-то 2008R2 сервер разрабатывался тогда, когда KIDO вирус уже был известен и уязвимость к нему, как правильно напомнил exo, устраняется обновлениями на ХР, которые, кажется, еще в SP2 входили, kk запускать не к чему. Неужели Вы думаете, что Майкрософт оставил эту уязвимость на srv 2008R2 ?

[Petya V4sechkin]

Цитата alef2474:

вообще-то 2008R2 сервер разрабатывался тогда, когда KIDO вирус уже был известен

Цитата Petya V4sechkin:

Kido для распространения использует не только уязвимости ОС, но и простейший брутфорс

Цитата alef2474:

не освобождает память почему-то

VMMap попробуйте. Вдруг что-нибудь увидите.

Цитата alef2474:

при загрузке комп-а в безопасном режиме или в безопасном режиме с поддержкой сети он ждет ввода имени-пароля только около 5 сек, не успеть - потом сам идет на перезагрузку

Включите запись дампов памяти.
Если DMP-файлы уже есть в папке \Windows\Minidump, выложите свежие.