ну давай по порядку:
вынь стоит за NAT на фряхе, с которой проброшен порт для RDP с инета. Больше машин в этой локалке нет.
совершенно нормальный ход - заражение прямой атакой по всем портам, слуайно или нет открытым в выни, как бы исключатся. надеюсь, там просто шнурок карта-карта - и все, да?
и - порт пробреен на уровне портмапа или на уровне роутинга?
Народ на терминальнике крутит все, от 1с и офиса, до скайпов, медков и т.д.
Т.е. фактически вся работа офиса снесена на терминальник.
тогда там время от времени ожидаются те или иные заражения.
Я в таких случаях после установки системы до сдачи её в эксплуатацию делаю копию, которую восстановить - 15 мин макс. при подозрениях на вирь - система просто восстанавливается. Это - общая практика, приходится так делать крайне редко, но время таки экономит.
Особенно, если учесть, что как раз в тот момент, как упало - оно критично..ю
userprofiles указывает на другой раздел, разумеется. это не панацея, но пока помогало.
После ребута необходимо кое какие действия ручками делать, так что ребут по расписанию - не вариант.
а что мешает сделать эти действия программно или на скриптах? Если там не слишком громозко и "не надо много думать" - могу нарисовать несколько строк под описанную ситацию...
Насчет виря - стоит SAV. Переодически машина сканиться Cureit (правда, последний раз относительно давно, на НГ праздники), так что вероятность мала.
вероятность мала подцепить что-то старое и общеизвестное, что тестируется всеми, кто общается с этой машиной - так что это пустая трата времени получается. А вероятность подцепить что-то новое - это элементарно. кстати, автостарты в реестре выключены, не? а то билли умудрился их сделать и с сетевых дисков, и с дискет, и с флешек, етс...
и ещё: для сетевых дисков запись в корень у меня запрещена на уровне прав доступа, можно только в директории. Встречались вири, от которых это спасало. ну, и вирус типа дир - тоже песня, но я подробностей не знаю, гуглить надо... я сам не сталкивался, просто рассказывали коллеги...
Про зверье, которое пролазит по RDP сессии не слышал.
я слышал ещё тогда, когда ставил этот сервер. Сразу отказался от желания отдавать рабочий стол большинству юзеров - прописал в шелле сразу запуск 1с. оказалось оправдано вроде...
В особых случаях так и есть, только 1С и все. Но лишь в редких случаях такое возможно.
просто в моём случае был изначально парк полноценных машин, где у каждого было все свое и 1с по сети. поставил сервер - снёс туда 1с, потом некоторым дал тоталло командирро - потом избранным - наиболее вменяемым - рабочий стол. так оно и осталось...
В принципе, память может утекать из-за антивиря, из-за заброшеных сессий жабы в браузерах, из-за ошибок в опере (в опере ac - такого не видел), етс.
а типа если монитор памяти для винды погуглить и посмотреть, какой процесс растёт по памяти?
