glb_ussr 5 Опубликовано Январь 12, 2009 Есть архитектура , центральный сервак, в городах "дочки". Все сделанно на симантеке 10 с последними апдейтами. Начиная с 26.12.2008 и по 03.01.2009 с города Н. в город Т. улетело 170 гигов. Разбор детальной статистики показал, что летело с центрального сервака из города Н. на "дочку" в городе Т. на порт на котором сидит Rtvscan.exe:1984 TCP 0.0.0.0:2967 0.0.0.0:0 LISTENING детальная статистика выглядит так col_Источник col_Получатель col_Пакетов col_Байт col_Порт_ист. col_Порт_получ.192.168.10.240 192.168.30.2 42886 46991660 4416 2967 что это было понять сложно ... но провайдеру теперь придется объяснять, что я не жираф ... Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
glb_ussr 5 Опубликовано Январь 14, 2009 раскопал по логам следующее Date: 26.12.2008Time: 1:58:01Category : Virus Def. FileDescription:Update to computer SRV-TOMSK2 of virus definition file 101224b succeeded. следующее сообщение по времени в 2:03, потом в 2:08 и т.д. с шагом в пять минут, на протяжении 13 дней ! С учетом ширины моего канала, то на то и вышло ... Что бы пром система (котороя я пользуюсь уже 3 года) вытворяла ТАКОЕ ! ДА ЧТО Ж ЭТО БЫЛО ТО !!!! Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
xck 25 Опубликовано Январь 14, 2009 Может файлы карантина отправлялись? У меня так несколько гигов.... наотправлялось... Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
glb_ussr 5 Опубликовано Январь 14, 2009 Может файлы карантина отправлялись? У меня так несколько гигов.... наотправлялось... направление трафика от центрального сервера к переферийным, врядли это карантинные файлы. Да и центра-карантин не настроен. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
xck 25 Опубликовано Январь 14, 2009 Category : Virus Def. FileDescription: Update to computer SRV-TOMSK2 of virus definition file 101224b succeeded. Судя по логам - обновления.... Только куда столько? Случаем на удаленном компьютере не был настроем Live Update Administrator? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
glb_ussr 5 Опубликовано Январь 15, 2009 C провайдером вопрос решен, благо товарищи благоразумные (ТрансТелеком, уж больно они мне нравятся). Вопрос в другом, на сколько симантек "крут" что бы помочь мне разобраться с тем что с НИМ произошло ? Кроме того, что я написал, мне найти ничего не удалось ... Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Кирилл Керценбаум 671 Опубликовано Январь 15, 2009 glb_ussr какая версия SAV CE у вас установлена? Правильно я понимаю что в филиалах подчиненные сервера? Думаю вам стоит обратиться в тех. поддержку с этим вопросом, они сразу объяснят что это был за трафик Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
glb_ussr 5 Опубликовано Январь 15, 2009 Да, правильно. По городам стоят подчиненные сервера, внутри города клиенты ходят только на внутригородской сервак. Центральный сервак = 10.1.6.6010, сервак с которым была проблемма 10.1.4.4010 в ТП попробую обратится. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Кирилл Керценбаум 671 Опубликовано Январь 15, 2009 glb_ussr советовал бы обновиться до 10.1.8, но предварительно лучше запросить ТП Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
glb_ussr 5 Опубликовано Январь 15, 2009 glb_ussr советовал бы обновиться до 10.1.8, но предварительно лучше запросить ТП а вы не в курсе, может симантек ведет какие то более детальные логи по поводу обновления дочерних серверов , чем это реализовано в консоли управления. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
