Лига Сисадминов

Здравствуйте, товарищи.

У меня такая ситуация: системный администратор в отпуске, а из регионального центра информационных технологий спустили письмо о том, что с компьютера с таким-то внешним IP-адресом зафиксированы аномальные обращения к домену с низкой репутацией.

Требуют, чтобы мы нашли этот компьютер и провели его полную проверку - удалили лишние плагины и тулбары, прогнали на антивирусную проверку и т. д.

Сам я в компьютерах разбираюсь постольку поскольку, но остальные ещё хуже, поэтому искать придётся мне.

Подскажите, пожалуйста, как можно локализовать этот ПК, зная только тот IP, что был в письме от ЦИТа?

Думал, зайти на speedtest или 2ip, посмотреть внешний адрес ПК, но не совпадает с представленным. На этом идеи кончились, беглый гуглёж не помог, ping и tracert не показывает имя ПК.

Есть доступ к серверу с Kerio, если это выход, но как с ним обращаться - не знаю.

UPD: спасибо за ответы, попробую использовать wireshark для сбора и анализа трафика на сервере, чтобы вычислить ПК, который обращается к подозрительному ресурсу.

Контекстная реклама пикабу жжет

Бонжур!

Доработал недавно (как и обещал в предыдущей публикации - Ansible. Network-scripts. RHEL8) функционал ansible-хелпера "conf_int_ipv4_via_network_scripts". Теперь изменения сетевых настроек возможно применить временно (например, на период тестирования). Для этого достаточно:

1) сконфигурировать целевые интерфейсы посредством правки файла "config";

2) задать время отката настроек на предыдущие через конфиг "additional_configs/config_temporary_apply_ifcfg" (по умолчанию = 10 минут);

3) запустить скрипт "apply_temporary_ifcfg.sh". Выполняет действия, аналогичные "apply_immediately_ifcfg.sh" (т.е. реконфигурирует сеть в соответствии с файлом "config"), но перед рестартом сервиса "network" запускает на удалённом хосте bash-скрипт "rollback_ifcfg_changes.sh", который возвращает сетевые настройки к виду до модификации через временной промежуток, определённый в файле "config_temporary_apply_ifcfg";

4) протестировать сетевые связанности целевых хостов (вероятно, когда-нибудь реализую утилиту на основе стека "ansible + bash + perl");

5) если всё в порядке, то запустить скрипт "apply_immediately_ifcfg.sh", который остановит исполнение сценария "rollback_ifcfg_changes.sh".

Итого, два варианта на выбор пользователя - либо применить новые настройки незамедлительно (just run "apply_immediately_ifcfg.sh"), либо применить их временно (run "apply_temporary_ifcfg.sh") до осуществления тестирования и отмены возврата к предыдущей конфигурации сети хоста (run "apply_immediately_ifcfg.sh").

Конечно, неплохо бы добавить централизованный сбор наименований сетевых интерфейсов и соответствующих им MAC-адресов, дабы в автоматическом режиме (при попытке применить конфигурацию) сверять с тем, что пользователь напишет в конфиге (и прекращать выполнение софта, если, например, для интерфейса задан некорректный MAC), но эту фичу, думаю, реализую позже.

P.S. На очереди небольшой сюрприз для любителей разрешать доступ только к тем сетевым портам, которые необходимы для конкретного сервиса.

===

Ссылка на репозиторий: https://github.com/vladimir-chursin000/ansible_helpers

Пост будет полезен только владельцам материнской платы ECS Z77H2-A2X Deluxe (v1.0).

Материнка поддерживает загрузку с NVMe накопителя, подключенного через переходник к любому PCI Express порту. Но производитель забил маленький азиатский болт на обновление прошивки.

Ниже будет архив с готовой прошивкой для моей материнки (аппаратная версия платы только v1.0). Попытка прошить это куда-то ещё, кроме указанной в заголовке материнки — это… отличная идея, обязательно попробуйте! (сарказм)

ПРЕДУПРЕЖДЕНИЕ: Напоминаю, что прошивка BIOS потенциально не безопасная операция, будьте готовы нести комп в сервис.

Памятка, что нужно сделать:

(Опишу что делал я, но действия могут отличаться в зависимости от вашей текущей версии BIOS)

- Сначала обновляетесь с сайта до UEFI версии 11/15/2012, дизайн BIOS должен измениться, должен появиться номер версии Intel ME 8.1… (В архиве есть это обновление на всякий случай)

- Затем обновляетесь до следующей версии 01/10/2013. Моя модификация сделана на основе этой прошивки.

- Прошиваете мой ROM файл из архива. В архиве есть подсказки, если будут траблы позовите знакомого программиста. Программа будет какое-то время шить BIOS и показывать прогресс и записываемые адреса, но потом в конце выдаст ошибку 18, это нормально

Что было сделано с BIOS:

- В архиве есть ссылки на гайды, которые я использовал

- Сначала была скачана последняя официальная прошивка версии 01102013 и прошита (говорят это важно сделать)

- Затем из *.CAP файла вытащил тело BIOS и добавил в него драйвер NvmExpressDxe_Small.ffs (версию compressed) от Ethaniel

- Всё

Файл лежит на Яндекс.Диске:

https://disk.yandex.ru/d/e0z5Aor5_zcltg