Problema desconhecido ao remover máquinas do cliente, vírus ou coincidência

1

Lamentamos se isso deveria estar no SuperUser em vez de no ServerFault. Por favor, peça-me para migrar a questão em vez de flaming.

Eu tive 2 desktops do windows na rede no espaço de um mês, um windows 7 e outro Windows 8 em uma rede de 6 computadores com PDC e outro DC no Azure com algumas outras máquinas em um rede virtual do Azure.

As máquinas são processadores Asus I7 4 core 8 anos de idade com 32 GB de memória e disco principal SSD . As máquinas estão sendo executadas em uma loja de desenvolvimento para que todos tenham tudo instalado. As duas máquinas que caíram estão executando servidores sql locais (e um mysql e postgress também).

O primeiro caiu e nós culpamos o disco ssd pelo acidente. Mas alguns aspectos do acidente fizeram com que algumas luzes de advertência explodissem na minha cabeça, mas ser inundado (desenvolvedor e tentar fazer algum sentido na rede) não fez nada.

Ok Em seguida, minha máquina com disco de sistema principal (SSD) completo decidiu executar o utilitário de limpeza de disco para limpar os arquivos do sistema. Eu notei que tinha 192 gig em arquivos de sistema, não pensei nisso e rodei-o. Poucas horas depois eu comecei a ficar estranho vibes da máquina e iniciei o gerenciador de tarefas… arquivo não encontrado erro! Fui direto para o system32 e eis que não há arquivos, exceto aqueles bloqueados pelo sistema de arquivos onde foram deixados.

Tentou baixar os verificadores de vírus, mas não foi possível instalá-los porque o exe do UAW havia desaparecido. Consegui baixar um scanner de malware (não precisava de uma instalação), o que não me deu nenhum bom motivo para a situação. Eu fui para outra máquina windows 7 e consegui copiar todos os arquivos system32 para o meu sistema de arquivos. E minha intenção era fazer um save reboot e copiar os arquivos manualmente para o system32 e esperançosamente colocá-lo em execução (tenho um prazo olhando para mim), mas é claro que isso não funcionou, o setor de inicialização foi embora.

As pastas de cópia de sombra desapareceram e os pontos de restauração também desapareceram. Então eu tive que limpar instalá-lo. O disco não está reportando nenhum erro.

Eu verifiquei a rede e encontrei um serviço oculto no PDC (rootkit). Mas eu não conheço nenhum vírus que cause esse tipo de dano.

Então, finalmente, a questão é.

Uma falha de disco em um disco SSD se comporta assim? E se não, que tipo de vírus pode causar esse tipo de dano.

Editar

Eu sei que a rede está comprometida e precisa ser reinstalada. Mas a questão é que os clientes estão caindo devido a um vírus ou podem ser uma falha de disco SSD ou uma falha de atualização do Windows (que é a resposta do proprietário da empresa para tudo, e ele só deseja remover o rootkit e continuar.)

    
por Archlight 17.07.2014 / 10:16

2 respostas

2

Como você já escreveu, parece que você realmente tem um SSD caído ou prestes a cair.

Ter um Banco de Dados SQL e um SSD quase completo pode resultar em uma qualidade "degradante" rápida do ssd.

O melhor para algo assim para pelo menos ter alguns valores de antecipação é verificar os valores SMART do ssd.

Alguns dos valores importantes são "Contagem de nivelamento de uso" e "contagem de erros incorrigíveis"

Dependendo do seu SSD, você pode teoricamente obter muitas (10.000 ou mais) gravações repetidas em uma célula, mas isso pode até acontecer rápido do que você pensa quando todos os dados ainda são usados e a coleta de lixo só pode reciclar alguns as células.

Com certeza o controlador do SSD geralmente cuida disso, mas somente durante os últimos 1-2 anos o controlador ficou significativamente melhor.

Basicamente cimeira:

SSD quebrou.

Aconselhar: dividir o aplicativo OS + em pelo menos 2 discos / SSD separados, obter um ataque para evitar tempo de inatividade e nunca esquecer os backups.

    
por 18.07.2014 / 13:12
2

Eu acho que você pode estar um pouco acima da sua cabeça ...

Para começar, não há mais PDCs, e esse conceito já passou há muito tempo. Leia sobre os papéis do FSMO.

Se você encontrou um rootkit em um dos seus CDs, você precisa nivelá-lo e criar um novo! Você também precisa fazer uma análise de causa raiz e descobrir como ela chegou lá, porque, se você não fizer isso, ela continuará acontecendo. Você deve estar restaurando a partir de um backup do DS, mas se não tiver um, poderá sempre adicionar um novo DC ao domínio antes de remover e preparar o backup. Não tente remover vírus em casos como este; o custo de perder algo é muito alto e os mecanismos de persistência podem causar problemas aleatórios mais tarde.

Talvez suas caixas estejam desativadas seja o resultado de vírus com o administrador do domínio; talvez não. Você não parece ter nenhuma informação sobre isso. No entanto, a reconstrução de PCs que foram associados a um domínio comprometido nunca é um plano ruim e você pode começar por aí, com pelo menos um deles. Mas talvez seja uma coincidência. De qualquer maneira, já que você está sobrecarregado tentando microgerenciar o desempenho do sistema e remover vírus como um entusiasta de computador em uma rede de menos de 10, provavelmente você pode ver porque é uma prática ruim de sysadmin.

Vale a pena notar também que os tempos de acesso lentos não são um sintoma comum de um SSD defeituoso. Além disso, a queda pode ser literalmente qualquer coisa do que você mencionou, mas o que se destaca para mim é que você parece ter um comprometimento total com a segurança. Comece aí, com a pavimentação.

    
por 17.07.2014 / 10:50