Российские распределенные вычисления на платформе BOINC
Форум участников распределённых вычислений.

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

7 Страницы«<4567>
Опции
К последнему сообщению К первому непрочитанному
Offline Strori  
#101 Оставлено : 18 июня 2017 г. 3:25:26(UTC)
Strori


Статус: Я тут не впервой

Медали: Кубок: За вклад в победу

Группы: Member, Russia Team Group
Зарегистрирован: 05.10.2007(UTC)
Сообщений: 48
Откуда: Хабаровск

18.06.2017 10:22:51 | | Fetching configuration file from http://www.cosmologyatho...g/get_project_config.php
18.06.2017 10:23:04 | | Project communication failed: attempting access to reference site
18.06.2017 10:23:06 | | Internet access OK - project servers may be temporarily down.
18.06.2017 10:24:18 | | Fetching configuration file from https://einsteinathome.org/get_project_config.php
18.06.2017 10:24:21 | | Project communication failed: attempting access to reference site
18.06.2017 10:24:23 | | Internet access OK - project servers may be temporarily down.
18.06.2017 10:24:30 | | Fetching configuration file from http://pogs.theskynet.or...s/get_project_config.php
18.06.2017 10:24:42 | | Project communication failed: attempting access to reference site
18.06.2017 10:24:43 | | Internet access OK - project servers may be temporarily down.


Не может же оно все одновременно быть даун .
Offline PinkFloyd  
#102 Оставлено : 18 июня 2017 г. 12:45:55(UTC)
PinkFloyd


Статус: Давно уж тут

Группы: Member, Russia Team Group
Зарегистрирован: 24.03.2015(UTC)
Сообщений: 434
Мужчина
Российская Федерация
Откуда: Оренбург

Сказал «Спасибо»: 152 раз
Поблагодарили: 53 раз в 43 постах
Strori
Да, интересно у Вас как-то. Сейчас попробовал закрыть доступ к интернету клиенту в фаерволе. Соответственно выглядит это так:

Цитата:
18.06.2017 14:36:02 | Amicable Numbers | Sending scheduler request: Requested by user.
18.06.2017 14:36:02 | Amicable Numbers | Requesting new tasks for CPU and NVIDIA GPU
18.06.2017 14:36:03 | Amicable Numbers | Scheduler request failed: Couldn't connect to server
18.06.2017 14:36:08 | Asteroids@home | Sending scheduler request: Requested by user.
18.06.2017 14:36:08 | Asteroids@home | Not requesting tasks: "no new tasks" requested via Manager
18.06.2017 14:36:09 | Asteroids@home | Scheduler request failed: Couldn't connect to server
18.06.2017 14:36:15 | WUProp@Home | Sending scheduler request: Requested by user.
18.06.2017 14:36:15 | WUProp@Home | Not requesting tasks: non CPU intensive
18.06.2017 14:36:16 | WUProp@Home | Scheduler request failed: Couldn't connect to server


Т.е. все ясно и понятно - "Couldn't connect to server".
А у Вас "Internet access OK", но при этом "project servers may be temporarily down". Тогда даже не знаю что это может быть.
Offline tanos  
#103 Оставлено : 18 июня 2017 г. 15:04:45(UTC)
tanos


Статус: Старожил

Медали: Первооткрывателю: Результат в проекте SAT@homeМощь и напор: За сильное персональное выступление в соревновании. Донор: За финансовую помощь сайту

Группы: Member
Зарегистрирован: 08.10.2012(UTC)
Сообщений: 1,502
Мужчина
Откуда: Astronomy.Ru Forum

Сказал «Спасибо»: 580 раз
Поблагодарили: 660 раз в 396 постах
Автор: Strori Перейти к цитате
Не может же оно все одновременно быть даун .


Не может.
Первое: boinc для работы с сайтами проектов использует TCP порты 80 и 443, они должны быть разрешены, если у вас активен встроенный файервол или антивирус с файерволлом, надо проверить.
Второе: если boinc установили как службу, то возможно из-за медленной инициализации сетевого оборудования, boinc, "как служба", стартует первым и упирается в "неготовую сеть", дальнейшие проверки на готовность соединения boinc не делает. Если boinc установлен как служба (а boinc по умолчанию так и ставиться), то лучше переустановить, тем более режим работы boinc "как служба" не очень дружит с графическими картами, если мне не изменяет память.

P.S. А вы можете выложить лог с самого старта boinc, где вся информация о железе дровах и их загрузки boinc?

Отредактировано пользователем 18 июня 2017 г. 15:32:55(UTC)  | Причина: Не указана


команда Astronomy.Ru Forum - http://vk.com/club53333580
Offline Strori  
#104 Оставлено : 19 июня 2017 г. 1:18:23(UTC)
Strori


Статус: Я тут не впервой

Медали: Кубок: За вклад в победу

Группы: Member, Russia Team Group
Зарегистрирован: 05.10.2007(UTC)
Сообщений: 48
Откуда: Хабаровск

Попробовал при отключенном файерволле - тоже самое.

Полный лог это вот это?

19.06.2017 7:49:58 | | cc_config.xml not found - using defaults
19.06.2017 7:49:58 | | Starting BOINC client version 7.6.33 for windows_x86_64
19.06.2017 7:49:58 | | log flags: file_xfer, sched_ops, task
19.06.2017 7:49:58 | | Libraries: libcurl/7.47.1 OpenSSL/1.0.2g zlib/1.2.8
19.06.2017 7:49:58 | | Data directory: C:\ProgramData\BOINC
19.06.2017 7:49:58 | |
19.06.2017 7:49:58 | | CUDA: NVIDIA GPU 0: GeForce GTX 1070 (driver version 382.05, CUDA version 8.0, compute capability 6.1, 4096MB, 3046MB available, 6707 GFLOPS peak)
19.06.2017 7:49:58 | | OpenCL: NVIDIA GPU 0: GeForce GTX 1070 (driver version 382.05, device version OpenCL 1.2 CUDA, 8192MB, 3046MB available, 6707 GFLOPS peak)
19.06.2017 7:49:58 | | Host name: MONSTR
19.06.2017 7:49:58 | | Processor: 12 GenuineIntel Intel(R) Core(TM) i7-6800K CPU @ 3.40GHz [Family 6 Model 79 Stepping 1]
19.06.2017 7:49:58 | | Processor features: fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss htt tm pni ssse3 fma cx16 sse4_1 sse4_2 movebe popcnt aes f16c rdrandsyscall nx lm avx avx2 vmx tm2 dca pbe fsgsbase bmi1 hle smep bmi2
19.06.2017 7:49:58 | | OS: Microsoft Windows 7: Professional x64 Edition, Service Pack 1, (06.01.7601.00)
19.06.2017 7:49:58 | | Memory: 31.84 GB physical, 63.68 GB virtual
19.06.2017 7:49:58 | | Disk: 223.35 GB total, 86.77 GB free
19.06.2017 7:49:58 | | Local time is UTC +10 hours

Вчера тестил разные проекты на подключение методом тыка. Подключился SETI, который я никогда не считал. Энигма тоже. Астероид, эйнштейн, космолоджи милкивэй, POGS - нет. Жесть какая-то.
Offline ReaDy  
#105 Оставлено : 19 июня 2017 г. 8:34:52(UTC)
ReaDy


Статус: Старожил

Медали: Первооткрывателю: Нахождение пар ОДЛК в RakeSearch!

Группы: Member
Зарегистрирован: 03.08.2013(UTC)
Сообщений: 535
Российская Федерация

Сказал(а) «Спасибо»: 243 раз
Поблагодарили: 222 раз в 160 постах
Попробуйте уже при работающем компьютере перезапустить клиент BOINC и вручную обновить несколько проектов.
И проверьте сетевые настройки клиента: Параметры - Другие параметры. Закладки /Параметры подключения/HTTP прокси/SOCKS прокси/ должны быть пустыми.
6419*2^1351093+1 is prime!
Offline Strori  
#106 Оставлено : 19 июня 2017 г. 12:24:07(UTC)
Strori


Статус: Я тут не впервой

Медали: Кубок: За вклад в победу

Группы: Member, Russia Team Group
Зарегистрирован: 05.10.2007(UTC)
Сообщений: 48
Откуда: Хабаровск

Усе пусто. Перезапускал - чихать он хотел.
Offline ReaDy  
#107 Оставлено : 19 июня 2017 г. 23:36:17(UTC)
ReaDy


Статус: Старожил

Медали: Первооткрывателю: Нахождение пар ОДЛК в RakeSearch!

Группы: Member
Зарегистрирован: 03.08.2013(UTC)
Сообщений: 535
Российская Федерация

Сказал(а) «Спасибо»: 243 раз
Поблагодарили: 222 раз в 160 постах
Очень странный случай. На вашем месте я бы переустановил windows, перед этим сделав образ уже установленной системы. Если на свежей ОС будет тоже самое с boinc, то проблема не в ней, и можно будет восстановить уже настроенную из образа.
6419*2^1351093+1 is prime!
Offline zlodeck  
#108 Оставлено : 20 июня 2017 г. 1:16:16(UTC)
zlodeck


Статус: Частенько заглядывает

Группы: Member
Зарегистрирован: 03.06.2012(UTC)
Сообщений: 205
Откуда: Замкадье

Сказал(а) «Спасибо»: 24 раз
Поблагодарили: 96 раз в 56 постах
Попробуйте включить в логе отладочный уровень для сетевых операций, а потом помедитировать с проектами.

В файл cc_config.xml добавить только <log_flags>...</log_flags>
Файл обычно находится в дире ProgramData\BOINC\DATA,
если файла нет, то создать и воткнуть уже вот это все.

Код:
<cc_config>
 <log_flags>
 <http_debug>1</http_debug>
 <http_xfer_debug>1</http_xfer_debug>
 </log_flags>
</cc_config>


После чего дать в боинк-менеджере команду Advanced->Read config files (или перезапустить боинк).
В сообщениях начнет появляться что-то вроде вот такого:

...
20/06/2017 00:49:11 [http] HTTP_OP::init_post(): http://boinc.gridcomputingcenter.org/gcc_cgi/cgi
20/06/2017 00:49:11 [http] HTTP_OP::libcurl_exec(): ca-bundle set
20/06/2017 00:49:11 [http] [ID#1] Info: Connection #0 seems to be dead!
20/06/2017 00:49:11 [http] [ID#1] Info: Closing connection #0
20/06/2017 00:49:11 [http] [ID#1] Info: SSLv3, TLS alert, Client hello (1):
20/06/2017 00:49:11 [http] [ID#1] Info: Connection #1 seems to be dead!
20/06/2017 00:49:11 [http] [ID#1] Info: Closing connection #1
20/06/2017 00:49:11 [http] [ID#1] Info: SSLv3, TLS alert, Client hello (1):
20/06/2017 00:49:11 [http] [ID#1] Info: About to connect() to boinc.gridcomputingcenter.org port 80 (#0)
20/06/2017 00:49:11 [http] [ID#1] Info: Trying 164.132.160.116...
20/06/2017 00:49:12 [http] [ID#1] Info: Connected to boinc.gridcomputingcenter.org (164.132.160.116) port 80 (#0)
20/06/2017 00:49:12 [http] [ID#1] Info: Connected to boinc.gridcomputingcenter.org (164.132.160.116) port 80 (#0)
20/06/2017 00:49:12 [http] [ID#1] Sent header to server: POST /gcc_cgi/cgi HTTP/1.1
20/06/2017 00:49:12 [http] [ID#1] Sent header to server: User-Agent: BOINC client (windows_x86_64 7.2.42)
...


Может, какая-нить бяка здесь проявится?
Offline Strori  
#109 Оставлено : 21 июня 2017 г. 2:50:11(UTC)
Strori


Статус: Я тут не впервой

Медали: Кубок: За вклад в победу

Группы: Member, Russia Team Group
Зарегистрирован: 05.10.2007(UTC)
Сообщений: 48
Откуда: Хабаровск

21.06.2017 9:47:53 | | Re-reading cc_config.xml
21.06.2017 9:47:53 | | log flags: file_xfer, sched_ops, task, http_debug, http_xfer_debug

Все. smile
Offline zlodeck  
#110 Оставлено : 21 июня 2017 г. 15:49:31(UTC)
zlodeck


Статус: Частенько заглядывает

Группы: Member
Зарегистрирован: 03.06.2012(UTC)
Сообщений: 205
Откуда: Замкадье

Сказал(а) «Спасибо»: 24 раз
Поблагодарили: 96 раз в 56 постах
Странно, что не показывает никаких действий по http.
А если проект отключить/подключить?

Вот что мой пишет при подключении (ну и дальше еще простыня страниц на 10):

21.06.2017 15:37:49 | | Fetching configuration file from http://boinc.gridcomputi...g/get_project_config.php
21.06.2017 15:37:49 | | [http] HTTP_OP::init_get(): http://boinc.gridcomputi...g/get_project_config.php
21.06.2017 15:37:49 | | [http] HTTP_OP::libcurl_exec(): ca-bundle 'C:\Program Files\BOINC\ca-bundle.crt'
21.06.2017 15:37:49 | | [http] HTTP_OP::libcurl_exec(): ca-bundle set
21.06.2017 15:37:49 | | [http] [ID#31] Info: Connection 2302 seems to be dead!
21.06.2017 15:37:49 | | [http] [ID#31] Info: Closing connection 2302
21.06.2017 15:37:49 | | [http] [ID#31] Info: Trying 164.132.160.116...
21.06.2017 15:37:49 | | [http] [ID#31] Info: Connected to boinc.gridcomputingcenter.org (164.132.160.116) port 80 (#2303)
21.06.2017 15:37:49 | | [http] [ID#31] Sent header to server: GET /get_project_config.php HTTP/1.1
21.06.2017 15:37:49 | | [http] [ID#31] Sent header to server: Host: boinc.gridcomputingcenter.org
21.06.2017 15:37:49 | | [http] [ID#31] Sent header to server: User-Agent: BOINC client (windows_x86_64 7.6.22)
21.06.2017 15:37:49 | | [http] [ID#31] Sent header to server: Accept: */*
21.06.2017 15:37:49 | | [http] [ID#31] Sent header to server: Accept-Encoding: deflate, gzip
21.06.2017 15:37:49 | | [http] [ID#31] Sent header to server: Content-Type: application/x-www-form-urlencoded
21.06.2017 15:37:49 | | [http] [ID#31] Sent header to server: Accept-Language: ru_RU
21.06.2017 15:37:49 | | [http] [ID#31] Sent header to server:
21.06.2017 15:37:49 | | [http] [ID#31] Received header from server: HTTP/1.1 200 OK
Offline Strori  
#111 Оставлено : 15 августа 2017 г. 2:26:40(UTC)
Strori


Статус: Я тут не впервой

Медали: Кубок: За вклад в победу

Группы: Member, Russia Team Group
Зарегистрирован: 05.10.2007(UTC)
Сообщений: 48
Откуда: Хабаровск

Кажется, нашел решение. Вопрос оказался в антивире, но не в блокировании трафика, а в блокировании процессов. Функция HIPS - хост-система предотвращения вторжений (Host Intrusion Prevention System). В автоматическом режиме блокирует доступ к некоторым проектам боинка. А к некоторым не блокирует. Пока перевел в интерактивный режим, назначаю правила вручную, дальше будем посмотреть. Если он на каждое задание будет запрос выдавать - придется отключить HIPS вообще.
Offline Sid  
#112 Оставлено : 29 августа 2017 г. 20:23:20(UTC)
Sid


Статус: Старожил

Группы: Member
Зарегистрирован: 26.09.2013(UTC)
Сообщений: 505

Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 90 раз в 59 постах
Появилось много сообщений в логе типа:

8/29/2017 7:31:50 PM GUI RPC request from non-allowed address 2.0.206.46

ip адрес из Франции.

Специфическая атака на boinc компы?
Offline Demis  
#113 Оставлено : 30 августа 2017 г. 10:38:53(UTC)
Demis


Статус: Я тут не впервой

Группы: Member
Зарегистрирован: 29.05.2017(UTC)
Сообщений: 45

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 7 раз в 7 постах
Автор: Sid Перейти к цитате
Появилось много сообщений в логе типа:

8/29/2017 7:31:50 PM GUI RPC request from non-allowed address 2.0.206.46

ip адрес из Франции.

Специфическая атака на boinc компы?
Сложно сказать, не обязательно на боинк, но на rpc точно. И с адресом тоже может быть не просто, например если это гейт для тора или i2p. Да и просто человек мог подхватить заразу, с кем не бывает. Но, конечно, нужно понаблюдать... Вообще, немного странно, есть у rpc от boinc стандартный порт 31416. Обычно он локален, т.е. 127.0.0.1:31416. В сетевых случаях он дополнительно должен привязываться к IP. Можно на файрволе просто запретить все коннекты на этот порт из вне. Если конечно не требуется самому куда-то подключаться через сеть Интернет. Плюс сам порт можно поменять https://boinc.mundayweb.com/wiki...to_port_31416_failed:_98

Отредактировано пользователем 30 августа 2017 г. 11:36:28(UTC)  | Причина: пришли мысли и начали с кем-то беседовать...

Offline Sid  
#114 Оставлено : 30 августа 2017 г. 13:16:07(UTC)
Sid


Статус: Старожил

Группы: Member
Зарегистрирован: 26.09.2013(UTC)
Сообщений: 505

Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 90 раз в 59 постах
Автор: Demis Перейти к цитате
Автор: Sid Перейти к цитате
Появилось много сообщений в логе типа:

8/29/2017 7:31:50 PM GUI RPC request from non-allowed address 2.0.206.46

ip адрес из Франции.

Специфическая атака на boinc компы?
Сложно сказать, не обязательно на боинк, но на rpc точно. И с адресом тоже может быть не просто, например если это гейт для тора или i2p. Да и просто человек мог подхватить заразу, с кем не бывает. Но, конечно, нужно понаблюдать... Вообще, немного странно, есть у rpc от boinc стандартный порт 31416. Обычно он локален, т.е. 127.0.0.1:31416. В сетевых случаях он дополнительно должен привязываться к IP. Можно на файрволе просто запретить все коннекты на этот порт из вне. Если конечно не требуется самому куда-то подключаться через сеть Интернет. Плюс сам порт можно поменять https://boinc.mundayweb.com/wiki...to_port_31416_failed:_98


Про фаервол уже думал.
Пока решил не закрываит порт, все же хотелось разобраться.

Понаблюдал еше:
1. Подобные сообшения в логах боинка с разных ip (2.0.204-207.*) адресов присутствуют только на Linux машинах.
2. Во всех виндовс машинах в логах ничего подобного нет.

Есть подозрение на boincTasks и TThrottle. Последний запущен только на виндовс машинах

Почему подозрение?
Все машины за роутером и снаружи видны как один ip адрес(NAT). Для того, чтобы запрос RPC попал на нужную машину, эта машина должна первая инициировать соединение.

Offline Demis  
#115 Оставлено : 30 августа 2017 г. 14:30:34(UTC)
Demis


Статус: Я тут не впервой

Группы: Member
Зарегистрирован: 29.05.2017(UTC)
Сообщений: 45

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 7 раз в 7 постах
Автор: Sid Перейти к цитате
Автор: Demis Перейти к цитате
Автор: Sid Перейти к цитате
Появилось много сообщений в логе типа:

8/29/2017 7:31:50 PM GUI RPC request from non-allowed address 2.0.206.46

ip адрес из Франции.

Специфическая атака на boinc компы?
Сложно сказать, не обязательно на боинк, но на rpc точно. И с адресом тоже может быть не просто, например если это гейт для тора или i2p. Да и просто человек мог подхватить заразу, с кем не бывает. Но, конечно, нужно понаблюдать... Вообще, немного странно, есть у rpc от boinc стандартный порт 31416. Обычно он локален, т.е. 127.0.0.1:31416. В сетевых случаях он дополнительно должен привязываться к IP. Можно на файрволе просто запретить все коннекты на этот порт из вне. Если конечно не требуется самому куда-то подключаться через сеть Интернет. Плюс сам порт можно поменять https://boinc.mundayweb.com/wiki...to_port_31416_failed:_98


Про фаервол уже думал.
Пока решил не закрываит порт, все же хотелось разобраться.

Понаблюдал еше:
1. Подобные сообшения в логах боинка с разных ip (2.0.204-207.*) адресов присутствуют только на Linux машинах.
2. Во всех виндовс машинах в логах ничего подобного нет.

Есть подозрение на boincTasks и TThrottle. Последний запущен только на виндовс машинах

Почему подозрение?
Все машины за роутером и снаружи видны как один ip адрес(NAT). Для того, чтобы запрос RPC попал на нужную машину, эта машина должна первая инициировать соединение.

Тут немного поразбираться нужно.

Виндовс машины могут просто не писать в лог в силу настроек того-же вин-файевола.
А поскольку файр "уже сработал", то и другая диагностика не получит развития.
На них-бы посмотреть пакетики из этих сетей (2.0.204-207.*) с помощью WireShark'a или аналогов.
И если в виндовс машинах действительно нет, тогда сомнительно про "TThrottle. Последний запущен только на виндовс машинах".
Т.е. я-бы просто отбросил такой вариант.

Про boincTasks нужно наблюдать.

Если Вайршарк на винде ничего не покажет, получается, что "ловят" только линукс машины.
Вполне возможно, что именно с них "что-то" по честному лезет через нат наружу, нат это помнит,
соответственно "прилетает" обратно, но авторизация посылает "далеко".
Про роутер и нат - абсолютно согласен.

М.б. эти IP связаны с каким-либо проектом?
Сомнительно, но возможно.

Количество сообщений в логах имеет какую-то динамику?

Offline Sid  
#116 Оставлено : 30 августа 2017 г. 14:43:45(UTC)
Sid


Статус: Старожил

Группы: Member
Зарегистрирован: 26.09.2013(UTC)
Сообщений: 505

Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 90 раз в 59 постах
Автор: Demis Перейти к цитате
Автор: Sid Перейти к цитате
Автор: Demis Перейти к цитате
Автор: Sid Перейти к цитате
Появилось много сообщений в логе типа:

8/29/2017 7:31:50 PM GUI RPC request from non-allowed address 2.0.206.46

ip адрес из Франции.

Специфическая атака на boinc компы?
Сложно сказать, не обязательно на боинк, но на rpc точно. И с адресом тоже может быть не просто, например если это гейт для тора или i2p. Да и просто человек мог подхватить заразу, с кем не бывает. Но, конечно, нужно понаблюдать... Вообще, немного странно, есть у rpc от boinc стандартный порт 31416. Обычно он локален, т.е. 127.0.0.1:31416. В сетевых случаях он дополнительно должен привязываться к IP. Можно на файрволе просто запретить все коннекты на этот порт из вне. Если конечно не требуется самому куда-то подключаться через сеть Интернет. Плюс сам порт можно поменять https://boinc.mundayweb.com/wiki...to_port_31416_failed:_98


Про фаервол уже думал.
Пока решил не закрываит порт, все же хотелось разобраться.

Понаблюдал еше:
1. Подобные сообшения в логах боинка с разных ip (2.0.204-207.*) адресов присутствуют только на Linux машинах.
2. Во всех виндовс машинах в логах ничего подобного нет.

Есть подозрение на boincTasks и TThrottle. Последний запущен только на виндовс машинах

Почему подозрение?
Все машины за роутером и снаружи видны как один ip адрес(NAT). Для того, чтобы запрос RPC попал на нужную машину, эта машина должна первая инициировать соединение.

Тут немного поразбираться нужно.

Виндовс машины могут просто не писать в лог в силу настроек того-же вин-файевола.
А поскольку файр "уже сработал", то и другая диагностика не получит развития.
На них-бы посмотреть пакетики из этих сетей (2.0.204-207.*) с помощью WireShark'a или аналогов.
И если в виндовс машинах действительно нет, тогда сомнительно про "TThrottle. Последний запущен только на виндовс машинах".
Т.е. я-бы просто отбросил такой вариант.

Про boincTasks нужно наблюдать.

Если Вайршарк на винде ничего не покажет, получается, что "ловят" только линукс машины.
Вполне возможно, что именно с них "что-то" по честному лезет через нат наружу, нат это помнит,
соответственно "прилетает" обратно, но авторизация посылает "далеко".
Про роутер и нат - абсолютно согласен.

М.б. эти IP связаны с каким-либо проектом?
Сомнительно, но возможно.

Количество сообщений в логах имеет какую-то динамику?



насчет динамики - каждые минут 10 строки
H81MC2

115 8/30/2017 2:32:51 PM GUI RPC request from non-allowed address 2.0.195.100
116 8/30/2017 2:32:51 PM 4 connections rejected in last 10 minutes
130 8/30/2017 2:42:51 PM GUI RPC request from non-allowed address 2.0.195.174
131 8/30/2017 2:42:51 PM 4 connections rejected in last 10 minutes
Offline Demis  
#117 Оставлено : 30 августа 2017 г. 17:27:45(UTC)
Demis


Статус: Я тут не впервой

Группы: Member
Зарегистрирован: 29.05.2017(UTC)
Сообщений: 45

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 7 раз в 7 постах
Автор: Sid Перейти к цитате
Автор: Demis Перейти к цитате
Автор: Sid Перейти к цитате
Автор: Demis Перейти к цитате
Автор: Sid Перейти к цитате
Появилось много сообщений в логе типа:

8/29/2017 7:31:50 PM GUI RPC request from non-allowed address 2.0.206.46

ip адрес из Франции.

Специфическая атака на boinc компы?
Сложно сказать, не обязательно на боинк, но на rpc точно. И с адресом тоже может быть не просто, например если это гейт для тора или i2p. Да и просто человек мог подхватить заразу, с кем не бывает. Но, конечно, нужно понаблюдать... Вообще, немного странно, есть у rpc от boinc стандартный порт 31416. Обычно он локален, т.е. 127.0.0.1:31416. В сетевых случаях он дополнительно должен привязываться к IP. Можно на файрволе просто запретить все коннекты на этот порт из вне. Если конечно не требуется самому куда-то подключаться через сеть Интернет. Плюс сам порт можно поменять https://boinc.mundayweb.com/wiki...to_port_31416_failed:_98


Про фаервол уже думал.
Пока решил не закрываит порт, все же хотелось разобраться.

Понаблюдал еше:
1. Подобные сообшения в логах боинка с разных ip (2.0.204-207.*) адресов присутствуют только на Linux машинах.
2. Во всех виндовс машинах в логах ничего подобного нет.

Есть подозрение на boincTasks и TThrottle. Последний запущен только на виндовс машинах

Почему подозрение?
Все машины за роутером и снаружи видны как один ip адрес(NAT). Для того, чтобы запрос RPC попал на нужную машину, эта машина должна первая инициировать соединение.

Тут немного поразбираться нужно.

Виндовс машины могут просто не писать в лог в силу настроек того-же вин-файевола.
А поскольку файр "уже сработал", то и другая диагностика не получит развития.
На них-бы посмотреть пакетики из этих сетей (2.0.204-207.*) с помощью WireShark'a или аналогов.
И если в виндовс машинах действительно нет, тогда сомнительно про "TThrottle. Последний запущен только на виндовс машинах".
Т.е. я-бы просто отбросил такой вариант.

Про boincTasks нужно наблюдать.

Если Вайршарк на винде ничего не покажет, получается, что "ловят" только линукс машины.
Вполне возможно, что именно с них "что-то" по честному лезет через нат наружу, нат это помнит,
соответственно "прилетает" обратно, но авторизация посылает "далеко".
Про роутер и нат - абсолютно согласен.

М.б. эти IP связаны с каким-либо проектом?
Сомнительно, но возможно.

Количество сообщений в логах имеет какую-то динамику?



насчет динамики - каждые минут 10 строки
H81MC2

115 8/30/2017 2:32:51 PM GUI RPC request from non-allowed address 2.0.195.100
116 8/30/2017 2:32:51 PM 4 connections rejected in last 10 minutes
130 8/30/2017 2:42:51 PM GUI RPC request from non-allowed address 2.0.195.174
131 8/30/2017 2:42:51 PM 4 connections rejected in last 10 minutes

Бредовая идея, но вот посмотрите код:
https://github.com/BOINC/boinc/b...lient/gui_rpc_server.cpp

строка 391:
Код:
"GUI RPC request from non-allowed address %s"

В 397-ой
Код:
"%d connections rejected in last 10 minutes"

Если вернуться выше и посмотреть название функции в которой все это находится:
Код:
369 show_connect_error(sockaddr_storage& s)

Уже интересно, т.к. "контекст" программы говорит о том, что "показать мне любезному ошибку подключенияя".
Т.е. "моя программа" устанавливает связь, а не наоборот.

Далее, посмотрим еще выше, строку 288:
Код:
GUI_RPC_CONN_SET::init_tcp

Т.е. "установление соединения".

А еще выше 282-287:
Код:

// If the client runs at boot time,
// it may be a while (~10 sec) before the DNS system is working.
// If this returns an error,
// it will get called once a second for up to 30 seconds.
// On the last call, "last_time" is set; print error messages then.
//

Я не спец в программах, но на мой взгляд что-то инициируется из локального боинк-клиента.
М.б. вообще все просто и это какой-то из проектов (или проекта в VM) к себе "домой" ломится?

Правда в этом случае не понятно с направлением,
т.к. запись лога четко гласит "request from ", т.е. "запрос с" такого-то адреса.

Хотя не думаю, что все написанное - правильный ход мысли.

И еще https://einsteinathome.org/ru/content/boinc-remote-host
11 Jul 2005 7:25:44 UTC Message 10363
Код:
Access control for GUI RPC
Since GUI RPCs can control the BOINC client (e.g. attaching/detaching projects) it is important to protect your BOINC client from unauthorized control. There are two levels of protection:
You can associate a password with the client; GUI RPCs must be authenticated with this password.
You can restrict RPCs to a limited set of hosts.
Password protection
If you place a password in a file gui_rpc_auth.cfg in your BOINC directory, GUI RPCs must be authenticated using the password.
Remote host restriction
By default the core client accepts GUI RPCs only from the same host.
You can allow remote hosts to control a core client in two ways:
If you run the client with the -allow_remote_gui_rpc command line option, it will accept connections from any host. This is not recommended unless the host is behind a firewall that blocks the GUI RPC port (1043).
You can create a file remote_hosts.cfg in your BOINC directory containing a list of allowed DNS host names or IP addresses (one per line). Those hosts will be able to connect. The remote_hosts.cfg file can have comment lines that start with either a # or a ; character as well.
Номер порта еще старый, но суть интересна.
Можно прикрутить что-нибудь вроде cat /usr/ports/security/bruteblock/pkg-descr
Код:

Bruteblock allows system administrators to block various bruteforce
attacks on UNIX services. The program analyzes system logs and adds
attacker's IP address into ipfw2 table effectively blocking them.
Addresses are automatically removed from the table after specified
amount of time. Bruteblock uses regular expressions to parse logs,
which provides flexibility allowing it to be used with almost any
network service. Bruteblock is written in pure C, doesn't use any
external programs and work with ipfw2 tables via raw sockets API.

WWW: http://samm.kiev.ua/bruteblock/

Для других систем подобрать что-нибудь из статьи:https://habrahabr.ru/post/120700/
Пусть ломятся до опупения...

Отредактировано пользователем 30 августа 2017 г. 17:47:40(UTC)  | Причина: Не указана

Offline Sid  
#118 Оставлено : 30 августа 2017 г. 20:32:17(UTC)
Sid


Статус: Старожил

Группы: Member
Зарегистрирован: 26.09.2013(UTC)
Сообщений: 505

Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 90 раз в 59 постах
Бегло посмотрел код - открывается слушающий сокет на этом порту.
По приходу запроса на соединение проверяется, есть ли ip в списке разрешенных. Если нет, то выводиться это сообщение.
Надо рыть глубже. smile
Offline Demis  
#119 Оставлено : 31 августа 2017 г. 10:47:54(UTC)
Demis


Статус: Я тут не впервой

Группы: Member
Зарегистрирован: 29.05.2017(UTC)
Сообщений: 45

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 7 раз в 7 постах
Автор: Sid Перейти к цитате
Бегло посмотрел код - открывается слушающий сокет на этом порту.
По приходу запроса на соединение проверяется, есть ли ip в списке разрешенных. Если нет, то выводиться это сообщение.
Надо рыть глубже. smile
То-то и оно, что глубже. В обычном состоянии нат не будет знать какому хосту во внутрь сети закинуть пакет, соответственно пакет будет отброшен и до внутреннего хоста не дойдет (и значит в логе этого хоста не появится). Исключение из этого, пожалуй, только если на роутере/файерволле сделан маппинг конкретного порта на внутренний хост.

Offline Sid  
#120 Оставлено : 31 августа 2017 г. 11:43:34(UTC)
Sid


Статус: Старожил

Группы: Member
Зарегистрирован: 26.09.2013(UTC)
Сообщений: 505

Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 90 раз в 59 постах
Автор: Demis Перейти к цитате
Автор: Sid Перейти к цитате
Бегло посмотрел код - открывается слушающий сокет на этом порту.
По приходу запроса на соединение проверяется, есть ли ip в списке разрешенных. Если нет, то выводиться это сообщение.
Надо рыть глубже. smile
То-то и оно, что глубже. В обычном состоянии нат не будет знать какому хосту во внутрь сети закинуть пакет, соответственно пакет будет отброшен и до внутреннего хоста не дойдет (и значит в логе этого хоста не появится). Исключение из этого, пожалуй, только если на роутере/файерволле сделан маппинг конкретного порта на внутренний хост.



Вот этого точно нет.
Хостов больше десяти, маппинг на все не сделаешь.
Тоже удивляюсь, как определяется, каким хостам слать пакеты.
WireShark поможет понять, конечно, но нужно время.

Еще идея - как я писал, пакеты приходят только на Линух машины. А там Боинк относительно старый 7.4.22 - тот, что был в репозитарии. Для винды уже есть 7.6.34
Может стоит обновить, но самому собирать лениво - машин много.

Кстати, можно на ансибле сделать обновление боинков на всех машинах, но нужно время.
Пользователи, просматривающие эту тему
Guest (3)
7 Страницы«<4567>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

AlexA theme. Created by AlexA
Форум YAF 2.1.1 | YAF © 2003-2018, Yet Another Forum.NET
Страница сгенерирована за 0.341 секунды.