 В конце того года принял предприятие: сервер терминалов, с десяток ПК локально и пару удаленных филиалов. Пока изучал среду, отметил: на сервер не поскупились - Xeon E5-2620, 16Гб ОЗУ. Только первая из жалоб - у нас тормозит ВСЕ - все ПК локально и терминалы тоже. Особенно жаловалась бухгалтерия - все тааак долго. Да как так-то, думаю - сервер-то реальный такой... через денек ознакомления решил посмотреть, как может тормозить... зашел на сервер, глянул ресурсы - офигел первый раз: процессор занят больше, чем на половину постоянно (это 12-то потоков!), а загрузка оперативки составляет... порядка 95%... от 16Гб, Карл! Интересуюсь, что да как - вырисовывается интересная картина: юзера сервер обсели очень дружно и на нем делают ВСЕ - инетятся, офисятся, однокласснятся - в общем, по полной. Причем у каждого запущено минимум по Chrome'у, а так еще Opera с Mozilla'ой параллельно растут, там же бухгалтерия со своим ПО. При этом большая часть пользователей еще и в группе администраторов числится, включая бухгалтерию - видимо, чтоб не заморачиваться насчет прав доступа. Я высказал им все, что думаю насчет такой организации сервера, озвучил, что так не пойдет и все надо менять, ибо так можно и шифровальщика словить и влететь конкретно, запланировал на конец недели переустановку сервера (ибо "сейчас ни-ни, отчеты и все такое, с понедельника, не раньше"). Проходит два дня, время около 16ч, звонит бухгалтерия "А вы сегодня у нас будете?". Отвечаю, что да, запланировано, через полчаса буду. Дальше - диалог
[Б]: ну, мы вас ждём, а то у нас 1С не работает, не можем зайти.
[Я]: в смысле не работает?
[Б]: ну, не можем зайти почти во все базы, а в некоторые можем. И МЕДОК (отчетность - прим.) тоже не запускается. А нам надо в них работать.
[Я]: (офигеть) и как давно это все?
[Б]: так с самого утра.
[Я]: сейчас почти 16ч. Почему я об этом узнаю сейчас, если с самого утра не работает?
[Б]: так вы ж говорили, что придете сегодня, мы и не звоним.
[Я]: у меня ведь есть удаленный доступ, может, я б смог исправить удаленно.
[Б]: ну, не знаю. Короче, мы вас ждем.
Тут надо сделать небольшое отступление... дело в том, что я к такому темпу работы, точнее к его полному отсутствию несколько не привык. Обычно на предприятиях ценят оперативность и о том, что что-то не работает на сервере, я узнаю в течение часа... а если не работает бухгалтерская программа - об этом я узнаю уже через 10-15 минут после обнаружения факта. А тут целый день - и никому нет дела.
Ладно, прихожу, смотрю МЕДОК ("сначала его - отчеты"). Не запускается, ругается на куда-то. Ладно, программа ударенная, мало ли, что ей приснилось, созваниваюсь с дистрибьютерами.
Они тоже ничего подсказать не могут, предлагают перезагрузить сервер. С этим предложением подхожу к главбухе. Дальше - еще один интересный диалог:
[Я]: надо бы сервер перезагрузить.
[Б]: нет, нельзя.
[Я]: в смысле?
[Б]: ну, просто если его сейчас перезагрузить, то до конца дня мы уже работать не сможем.
[Я]: так сейчас же 16ч, он что у вас, час перезагружаться будет?
[Б]: ну, да. Иногда и больше. Обычно час-полтора мы не можем зайти на сервер, а потом еще с час надо, чтоб что-то запустить.
[Я]: капец. И давно это так?
[Б]: давно. Я тут лет пять работаю, это еще до меня так работало.
[Я]: а причина?
[Б]: да кто его знает. Тут столько админов менялось, но насчет этого ничего не делалось, короче я не знаю.
[Я]: ну, вариантов не густо. Давайте попробуем, я хоть посмотрю на этот цирк.
[Б]: ну, как хотите. Все равно 1Ска и МЕДОК не работают, так что перезагружайте.
И что вы думаете? 10 минут, 30 минут, час - сервера нет. Я в шоке - в моем понимании если сервер после перезагрузки через 5 минут не вышел на связь - я уже начинаю беспокоиться. А тут такое положение - и все нормально: "Мы его просто не перезагружаем, а то пол-дня работы нет". Так в этот раз он еще и вечером был недоступен - видно, совсем расстроился, что его величество перезагрузили. В общем, на следующий день, с утра, я был там, сервер извлекли на свет божий из какого-то подвала поближе к народу. В процессе более близкого общения оказалось, что жесткий диск из зеркального рейда битый, про что тоже никто не был в курсе.
Ладно, сервер загружен, разбираюсь с МЕДКОМ. В процессе замечаю в папке файлы вида email-salazar_slytherin10@yahoo.com.*. *cbf - делаю вывод о том, что сервер когда-то, похоже, подвергался нападению шифровальщика - в оригинале папка Медка таких файлов не содержит. Ладно, копаюсь дальше, просят быстрее глянуть базы 1С, которые не работают... запускаю - каждая ругается на отсутствие файлов... захожу на диск - папки на месте, внутри... стоп... снова те же файлы. Хм, да что за дела... а где оригинальный файлы 1С, как так нет... еще ж вчера работало? Обращаю внимание на дату зашифрованного файла... смотрю... не понял, как так этот год... этот месяц... ВЧЕРА?? Как вчера?? Действительно, первый созданный зашифрованный файл датирован вчерашним днем - т.е. я пришел принимать должность в понедельник, был во вторник вечером, сегодня среда, а дата шифрования - вчера, середина дня, т.е. за пару часов до моего прихода... капец. Расшифровка - не тот случай, платить никто авторам не собирается - подымаем резервы. Тут снова новости - резервирование закончилось с месяц назад из-за нехватки места на разделе, куда все лилось... зае..мечательно, подымаем с того, что успело. На следующий день иду на встречу с директором, которого поздравляю с прилётом шифровальщика и потерей части данных, озвучиваю примерное время события, на что получаю следующую новость:
[Д]: так как раз вчера к нам приходил мальчик, который устраивался до тебя, но потом пропал недели на три, не отвечал ни на звонки, никак ничего. И вот он снова нарисовался со словами "Вот он я и готов продолжать получать зарплату работать", был послан.
[Я]: вона как... а во сколько мальчик приходил?
[Д]: да что-то около <время>
[Я]: т.е. первый зашифрованный файл появился где-то через час-полтора после его ухода?
[Д]: получается так.
[Я]: а пароли\явки у него были?
[Д]: да, пред. админ ввел его в курс дела и все передал, а потом он пропал.
Вот тут я в очередной раз офигел. Т.е. доказательств как бы нет, но совпадение уж шибко подозрительное.
В общем, на текущий момент все переустановлено и введено в эксплуатацию.
|