By SUF on 2010.08.30. 14:29

Na ez még nem az a cikk amit a vírusos sztoriban ígértem. Ez csak a dolgok végkimenetele.

Miután pénteken nagy levegőt vettem az f-protos cirkusz megoldása után, itt maradtam a régi tűzfalammal. Ez egy debian alapú sajtát barkács dolog. Talán még sarge volt rajta. Biztonsági frissítés, vagy két éve nincs hozzá. Nagyon érett a cseréje. Ha már egyszer az újnak a félkész virtuális változatát bedobtam csütörtökön. Itt az ideje, hogy megcsináljam a fizikai verziót.

Szabad volt a péntek délutánom, elvégre senki sem dolgozott nálunk (délelőtt mindenki hazament). A fizikai gépet már hetekkel ezelőtt úgyis előkészítettem, így annyi maradt, hogy kicsit kitakarítsam a kábeleket a rackben, valamint felrakjam a vadiúj lenny-t a gépre. Pont mire el kellett indulnom bentről, addig jutottam, hogy SSH-n keresztül el tudjam érni a gépet. Majd szombaton befejezem.

Szombaton hajnalban tettrekészen neikugrotam az átállásnak. Átpakoltam a konfigot, felkonfiguráltam a switcheket, belőttem az IP-ket, lelőttem a régit, elindítottam az újat, kipróbáltam, semmi.

Vártam.

Semmi.

Körbenéztem jobban, nini, az EDGE (exchange) kapja a leveleket. Outlook, OWA, ActiveSync nem megy. Bentről nem tudok netezni, majd kis idő múlva elindul bentről a net.

Várok.

Várok.

Eltelik kb. egy óra, de a publikált szolgáltatásokat még mindig nem lehet elérni.
Megjelenik a fiam és kisvakondot akar nézni az iPad-emen. Némi vita és hiszti után sikerül annyi időt nyernem, hogy visszaállítsam az egészet.

Hétfő reggel.

Teszek egy újabb kísérletet, kezdem gyanúsítani azt a dolgot, hogy megváltoztattam a hálókártya elsődleges címét és az egyik hozzáadott címet kezelem elsődlegesként. Visszaállítom, így sem megy.

Bejövök dolgozni. Kezd gyanús lenni az ARP.

Körbekérdezek.

A cisco router 3 óra alatt hajlamos elfelejteni az ARP táblát. Szuper.

Próbálom ping csomagokkal átverni.

Nem megy.

Feladom. lemegyek a szerver szobába, kihúzom a kábelt. Ha jól gondolom a linkbeat megszűnésére törölnie kéne az ARP cache-t.

Nem teszi.

Kikapcsolom.

Bekapcsolom. Várok, próbálkozom, nem megy.

Már az se ami eddig ment. Vissza a routerhez. Már linkbeat sincs. Átdugom egy másik switchbe. Ott megy.
Vissza a helyemre. switch konfig. Ping.

Végre működik.

A dolognak persze itt nincs vége. Ki kell derítenem, hogyan tudom ezt a router kikapcsolása nélkül, merő konfigurálással megoldani. Ugyanis, ha ledöglik a tűzfal, nem vagyok bent, akkor nem fogok tudni kapcsolgatni meg dugdosni az átálláshoz. 

By SUF on 2010.08.30. 12:23

Csütörtökön (2010.08.26) megérdemelt szabadságomat töltöttem. Pontosabban taknyom-nyálam egybefolyt és a tüdőmet köptem ki, mert kaptam valami nyavalyát a gyerekektől. Olyan délután kettő magasságában épp kenyeret próbáltam volna lőni a helyi boltban, amikor csörgött a telefon.

Az informatikus kolléganőm volt, hogy nagy gáz van bent. Hullnak a gépeink. A gépek fele már halott. Valami vírust kaptunk.

Kenyeret hazavittem. Lőttek a délutáni pihenésnek, helyette kocsiba be, irány az iroda.

Teljes tanácstalanság. Jelenség a következő: nem lehet elindítani a végrehajtható állományok jó részét. Nem indul az ipconfig, a task manager, a regedit, az office jó része. Megy ugyanakkor az Internet Explorer.

Csúnyán vírusnak tűnik. Miután más jelenség nincs, nem tudom kideríteni, hogy vajon mi lehet.

1. kísérlet:
A gépen telepített f-prot vírusirtó. Nem talál semmit.

2. kísérlet:
Eset online vírusirtó. Talál valamit, ráadásul minden profilban. Hurrá!!!
Ellenpróba, másik halott gép: nincs semmi.
Akkor nem ez volt.

3. kísérlet:
Találok valami RRT nevű izét a neten, ami kajabál, hogy gáz van, de hogy ő csak demo és vegyem meg. Ez gyanús, lehet, hogy nem is lát semmit. Ráadásul nem is hallottam még róla, inkább hagyjuk.

4. kísérlet:
Egyik halott gép radír, újratelepít a szokásos hálózati csomagból.
Egy órát élt, ez is benyelte a cuccot. Ez már óriási gáz. Nézem a szervereket, azok teljesen egészségesnek tűnnek.

5. kísérlet:
Vinyó gépből kikap, MS Security Essentials, f-prot végigkerget, semmi.

6. kísérlet:
Avast!, Dr. Web live cd. Egyik sem talál semmi értékelhetőt.

7. kísérlet:
ProcessExplorer, Autoruns. Egyikben sem látok semmi gyanúsat.

Telefonálgatás különböző szakértőknek. Hátha valaki mond valami okosat. Semmi olyan értékelhető, amit ne tudnék magamtól.
Kezdek gyanakodni, hogy nem vírus.
- Valaki felnyomta a rendszert és garázdálkodik
- Született valami csúnya software restriction policy a szerveren
- Felraktam valami print management alkalmazást az egyik szerverre előző nap és az csinálja
- Update-eltem a Flash-t policyból, szintén előző nap és az új verzió szar

Lecserélem a tűzfalat a félkész virtuális izére. Erről, majd később (másik cikk).

8. kísérlet:
Print management leszed. Semmi

9. kísérlet:
Utána nézek a Flashnek. A hibátlan gépeken (csoda, van még néhány) fent van az új, tehát ez sem.

Feladom, hazamegyek, majd holnap.

Péntek:

Elkezdek nulláról, CD-ről gépeket telepíteni. Nem épp új a géppark, ezzel elleszünk egy ideig.
Hívok olyan embert aki idejön és megcsinálja. Senki sem ér rá hétfő előtt. Mindenki értetlenkedik, és nincs jó ötlet.

Ekkor már az internetünk is elmegy. Invitel pattogtatása. Végignézik, szerintük nem náluk van a gond. Én meg innen nem tudom pingetni.

Végül kiderül, hogy nekik van igazuk. Ez a virtuális tűzfal mégsem gömbölyű. Dögölget. Kidobom, vissza a régi.

10. kísérlet:
Tegnapról maradt a policy kérdés. RSOP nem megy a gépeken, a szerveren nincs olyan beállítás ami gyanús lenne. Local Policy megfelelő ága üres.

Lassan elkezdenek hazaszállingózni az emberek. Ebből ma már nem lesz semmi. Főnököm közli, hogy majd telefonáljak utána, ha van valami.

Nézegetem a gépeket. Körvonalazódik valami. A desktopok mind döglöttek, a notebookok mind élnek.
Policy szempontból a két kör között egyetlen különbség van. Az, hogy hogyan frissül a vírusirtó. A notebook netről, a desktop lanról. Kolléganő közli, hogy nem tudta az f-prot kulcsot így a notebookokra felrakott más vírusirtót az f-prot meg csak ott van és malmozik.

Fasza. Hogy az a jó büdös...

Leülök az egyik halott desktop elé. f-prot letilt. ipconfig elindul.

Gratulálok f-protéknak. Mennek a levesbe.

Na, nem azért, mert volt egy rossz, vagy sérült frissítés, hanem, mert:
- Ha rossz a frissítés és ezért a vírusirtó azt érzékeli, hogy le kell tiltania az exe-imet akkor talán nyissa ki a pofáját.
- Ha pedig sérült, akkor némi kriptográfiai ellenőrzéssel ezt legyen szíves észrevenni

By SUF on 2010.08.18. 19:38

Jó, ez nem az első eset. Van iPod-om, mert az autóm, csak azt támogatja a CD tárat töltögetni meg nyűgös. HP dolgozó koromban volt egy Mac Color Classicom, mert nem lehetett máson tesztelni a mac only nyomtatókat.

Ez most más. Kaptam egy iPad-et ajándékba.

Szeretem? Nem szeretem? Nem tudom eldönteni. Egy biztos: használom.

Plusz:
+ A WiFi kapcsolata mind itthon mind a cégnél gond nélkül megy.
+ Ha kell rá valami alkalmazás az pillanatok alatt ott van, és szinte minden van, pedig csak ingyenes cucc megy rá. A Windows Mobile telefonomra alig tettem valamit, mert mindig vadászni kellett
+ Még a házimozi erősítőmet is távirányítja, de van rajta RDP, SIP telefon, SkyPE. Fel tudtam rakni rá egy rakás pdf-et és piszok kényelmes olvasni, netezni. Akár a budin is. :-)
+ Oprendszer upgrade-nél nincs újratelepítés újrabeállítás hanem megy tovább minden adatommal mintha semmi sem történt volna.
+ Van benne Exchange kliens (jó, ez alap ma már)
+ Remekül lehet rajta mozizni (ez jól jön, főleg egy 3 és fél éves mellett).

- Ki volt az a barom, aki egy ekkora cuccba kitalálta, hogy microSIM legyen benne a GSM adapter. Még nem tudtam megoldani, hogy kapjak bele egyet.
- Az jutott eszembe, hogy majd rajta írok blogot. Elvetélt ötlet volt. A Safari nem tud mit kezdeni a blogom szövegszerkesztőjével.
- A POP kliens egy agyrém. Ha az asztali gépemen letöltöm a pop boxom akkor ez ott hagyja a leveleket (az utolsó 200-at), nem pucolja ki azt, ami a szerverről eltűnt. Így gyakorlatilag használhatatlan.
- Nincs Flash, nincs Silverlight: képtelen voltam focivb-t nézni rajta.
- Alapból nem tudok mkv-t nézni rajta (azt hiszem ez már megoldódott).

Szóval ez van. Nem, nem lépek be a Steve Jobs egyházba. Egyenlőre, maradnak a Microsoftos cuccok tömegével.

By SUF on 2010.08.18. 19:32

Nem is tudom, hogy olvassa e ezt még valaki.

Talán elvesztettem a motivációmat, talán sok dolog volt rajtam mostanában, talán sok olyan dologgal foglalkoztam, ami nem tart igényt szélesebb érdeklődésre, talán sok befejezetlen project/ötlet van a fejemben amiről még nem érdemes írni.

Nem tudom. Nem fogadkozom, meglátjuk mi lesz. Ha sikerül, újraindul ez a blog, ha nem, akkor úgy marad.