My Server got Hacked :(

اینم یه خاطره ی بد و ترسناک... :(

اول از همه همیشه حواستووون به ترافیک خروجی از سروراتووون باشه، این خیلی مهمه!!!

یه روز دیدم که ترافیک ما از روزای قبل بیشتر شده، فهمیدم از پورت 17 سوییچ اینترنت داره خیلی ترافیک خارج می شه، بعدش رفتم دنبال اینکه ببینم پورت 17 به کدوووم سرورم می خوره، این رو فهمیدم و رفتم تووووی VSphere تا چک کنم ببینم کدووم ماشین هستش که داره اضافه کاری می کنه.

بالاخره پیداش کردم، یه Process به نام svchost.exe که مربوط به خود سیستم عامل هست توی یه ماشینی داشت با نتورک کار سنگین می کرد، تو نگاه اول آدم می گه خوب خود سیستم عامل داره کاراش رو انجام می ده، تازه یوزرشم ASP.NET بود که باعث می شد فکر کنم واسه سایتام هستش ولی بیشتر کانجکاو شدم.

با دستور Compmgmt.msc رفتم یوزرام رو چک کردم، دیدم توووی یووزرام 2 تا یوزر هست که من نساختم، یکی ASP.NET و یکی VMWARE، خیلی ترسناک بود، البته ترسناک ترم شد... :)

توووی Task Manager رفتم توووی تب یوزرام و دیدم که یوزر ASP.NET به سرور وصل هستش، پسوردش رو ریست کردم و بهش وصل شدم، روی دسکتاپ یه ویندوز اپلیکیشنی در حال اجرا بود که اسمش D-Root بود (اینجاش خیلی ترسناک بود)، سریع یوزرهای اضافی رو پاک کردم و رفتم دنبال اینکه این بابا چه جوری اووونده توو سیستم من با توجه به اینکه ریمووت دسکتاپ روی IP ولید بسته بوده.

دیدم که تمام روول های فایروالم پاک شده و فایروال خاموش هستش، بعدش متوجه شدم که یوزرای اضافی دوباره ساخته شدن، اینجا بود که فهمیدم یه اپی روی سیستم در حال اجراست...

فکر کنم یه اپی اووومده روی ماشین من و اول فایروال رو ترکونده و بعدشم یوزر ساخته و بعدشم تمام!!!!!

خلاصه که سرور رو از مدار خارج کردم و دارم بررسیش می کنم ببینم چی بوده.

نتیجه اخلاقی:

1) همیشه حواستوووون به ترافیک خروجی از سرور باشه

2) اگه توووی یوزراتووون، یوزری به نام ASP.NET و VMWARE دیدید شک نکنید که اتک خوردین! :)

Live Streaming

می خوام یه تجربه ای رو اینجا بگم که خیلی خوبه، البته تعریف از خود نباشه ها، کلا من خیلی خوووووبم...

ما یه همایشی داشتیم، قرار شد این همایش به صورت Live که همون زنده ی خودمووون هستش تووی یه سایتی پخش و در واقع Stream شه، خیلی وقت واسه این کار کم بود...

اولین چیزی که به ذهنم رسید این بوود که از IPCamera استفاده کنم، ولی این راهش نبود، آخه چه IP روی دوربین ست می کردم که سرورم رو ببینه، ها؟!؟!

کلی فکرای چرت و پرت کردم، حتی می خواستم یه جوری رووو این IPCamera وی پی ان بزنم تا بیوفته توووی شبکه سرورم، نخند... :)

یعد از کلی فکر چرت راهش رو پیدا کردم، من باید یه دستگاهی پیدا می کردم که فیلمی که دوربینم می گیره رو به صورت Live روی لپ تاپم داشته باشم، حالا با لپ تاپ می تونم کلی کار کنم که با یه IPCamera نمی شه کرد.

اول بزارید بگم که چه جوری دوووربین به لپ تاپ وصل می شه تا بعدش بگم چی کارش می کنیم، شما احتیاج به یه دستگاهی دارید به نام Blackmagic Design Intensity Shuttle، این دستگاه با یه کابلی که همراش هست از یه سمت وصل می شه به پورت USB3 لپ تاپ شما و از یه سمت با یه کابل دیگه وصل می شه به پورت A/V دوربین شما، یه درایور داره که نصب می شه و خیلی راحت گانفیگ می شه...

اینم عکسش:

حالا احتیاج به یه برنامه ای هستش که تصاویر گرفته شده رو باهاش Stream کرد، خیلی برنامه ها هستن که این کار رو می کنن، مثل : VidBlaster، FlashMediaLiveEncoder، mediaCast و کلی برنامه ی دیگه. 

امّا.... پیشنهاد من به شما WireCast هستش، کار کردن باهاش خیلی راحته، با اووون دستگاهی که گفتم و سرور Evo Stream هم سازگار هست....

اوووووم، اینایی که می گم پیاده سازی شده و ما این کار رو کردیم....

hp server ssd cache

سلام دوباره...

اول از همه عذر می خوام که یه خرده نبودم.

مطلب امروز خیلی فوق العاده می باشد، نتیجه ی کلی تست و تحقیق هستش، دستم درد نکنه به نظرم. :)

ما بر اساس نیازی که داشتیم 2 تا سرور خریدیم با کانفیگ زیر:

Server HP Proliant DL380-G8

CPU:2*Intel Xeon E5-2650 v2

Ram : HP 10*16 GB DDR3 ECC Registered Mamory

NIC HP 1GB 4-port

Raid Controller : HP Smart Array B320i 512MB 0.1.5.10.50

1*iLO remote managment port

Satandard Power : HP G8 750W CS HE Power Supply Kit Plat

Redundant Power : HP G8 750W CS HE Power Supply Kit Plat

Optical Drive : DVD/RW Slim

H.D.D : 8*480GB SSD Intel Seri 530

CF : 32GB class 10

سرورهای خوبی هستن، من روی سرورام ESXi می ریزم و طبق عادت آخرین ورژن (ESXi (5.5 رو ریختم، از کانفیگا باید فهمیده باشین که ESXi رو روی CF یا همون کامپکت فلش ریختم، همه چیز خوب بوووود تا اینکه به تست سنگین روی یه ماشین روی این سرور گرفتم...

کارایی سرور ها حتی از سرور های قدیمیموووونم پایین تر بود... (داستان تازه از اینجا شروع می شه)

خوب اولین تفاوت و چیزی که به ذهنم رسید این بود که ESXi رو از روی CF ور دارم و ببرم روی هاردهای اصلی، کردم ولی جواب نداد...

دومین راه حلی که به ذهنم رسید این بود که شاید از ورژن ESXi باشه، ورژن قبلی، یعنی 5.1 رو ریختم ولی نه، اینم نبووود... :(

بعد از کلی تحقیق راه رو پیدا کردم... :)

متاسفانه سرور باید ری استارت شه ولی نتیجه ی بعدش راضی کنندس...

من رفتم تو صفحه smart start و بعدش که آرایه درایوهام رو انتخاب کردم(عکس 1)

روی دکمه Disable HP SSD Smart Path کلیک کردم تا دکمه Cache Manager فعال شه، مثل شکل زیر :

رووو Cache Manager کلیک کردم و در صفحه باز شده Cache Ratio رو رووووی 50 گذاشتم، یعنی 50 درصد Read و 50 درصد Write، البته این بستگی به کاری داره که از سرور می خواید بکشید.

با این کار کارایی سرورم(حداقل Read و Write هاردام) راحت 2 برابر شد... :)

راستی، من کلاً به ادامه مطلب اعتقادی ندارم.... :))))

FIPS validated cryptographic algorithms

امروز متوجه شدم که یکی از اپلیکیشن های روی سرورم خطای زیر رو بر می گردووونه:

Server was unable to process request. ---> This implementation is not part of the Windows Platform FIPS validated cryptographic algorith

می دونستم این خطا به خاطر چیه، به خاطر پالسی هایی بووود که برای امن کردن سرور اضافه کرده بوووودم، اما من حدود 300 تا پالسی اعمال کردم، اینکه کدووووم بود برای خودش داستانی بووود!!!!!!

بالاخره بعد از کلی تلاش پیدا کردم... :)

برای درست کردنش رفتم به مسیر زیر توووی رجیستری:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy

یه کلیدی اونجا هست به نام enable که مقدارش 1 هستش، اوون رو 0 کردم و برای اطمینان از اعمالش ماشین مجازیم رو راه اندازی مجدد کردم.

همه چیز درست شد.... ;)

Intranet ping timeout

این مشکلی که الان می خوام بگم تقریبا یه نکته هستش تا یه مشکل...

دیروز متوجه شدم که روی یکی از سرورام ارتباطی که از طریق اینترانت با یه شرکتی داشتیم قطع شد، بعد از بررسی فهمیدم به خاطر کانکشنی هستش که به اووون سرور برای تست اضافه کرده بودم....

با دستور tracert فهمیدم که جای اینگه برم روووی گیت وی اینترانت می رم روووو اووون کانکشن جدیدی که اضافه کردم!!!!

کانکشن جدید رو حذف کردم همه چی درست شد. :)

نتیجه گیری اخلاقی : بعضی وقتا یه چیزی که هیچ ربطی نداره مشکل رو ایجاد می کنه.(البته تووو داستان ما همچینم بی ربط نبوووده ها)

IIS pool Stop and Crash

همه چیز از خطای 503 شروع شد، وقتی سرور رو بررسی می کردم فهمیدم که پول تمام سایت ها متوقف شده و راه اندازی مجدد که می شه با اولین درخواست دوباره متوقف می شه...

اولش مثل همیشه فکر کردم با یه کانفیگ ساده مشکل حل می شه، پس رفتم توووی advanced settings هر پول و Rapid-Fail protection رو خاموش کردم، دیگه پول ها متوقف نمی شدن اما کرش می کردن و عملاً کاری انجام نمی شد.

توووی Event ها به خطای 2276 iis w3svc wp رسیدم (The worker process failed to initialize correctly and therefore could not be started. The data is the error.)، بعد از کلی تلاش راه حلش رو پیدا کردم.

رفتم توووی advanced settings هر پول و توی قسمت Process Model و بعد Identity تغییر زیر رو اعمال کردم:

ََApplicationPoolIdentity رو به LocalSystem تغییر دادم.

مشکل حل شد... :)

اولین نوشته

به نام خدا

سلام

نمی دونم از کجا شروع کنم ولی خوب می دونم چی کار می خوام بکنم...