Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Ужас из жизни W2kServer... 17.10.03 22:11
Автор: Nour Статус: Незарегистрированный пользователь
|
Доброго всем утра/дня/вечера/ночи,
Не далее как вчера мой ДС на W2kServer завис без объяснения причин. Причем завис так, что ни на клавиатуру, ни на мышь, ни на кнопку повероффф никак не реагировал. В связи с тем, что это Пролиант, не оставалось ничего другого как отрубить питание. Видимо молился я усердно, так как все поднялось без проблем, ну или почти. Единственное что умерло, так это wins, которая востанавливается левым пальцем правой ноги. А вот сегодня.... сегондя начались чудеса.
Машина стала уходить в ребут. Все так же тихо как и зависла вчера. В логах чистота полная, аж тошнит. Единственное после ребута появляется сообщение "unexpected shundown" и сообщение от Save Dump под номером 1001 о том, что "The computer has rebooted from a bugcheck. The bugcheck was: 0x00000001 (0xbla-bla, bla-bla). Все остальное в полном порядке, ни ворнингов ни ерроров. Закономерности в ребутах тоже никакой. Сидел в холодильнике весь день. То через 10 минут ребут, а то через 3 часа. Активность юзеров одинаковая, т.е. ее никакой, две машины лазили в инете весь день и больше ничего. Вооот...
Есть какие-нибудь мысли по поводу вышесказанного у многоуважаемого олл?
|
|
По поводу кнопки выключения питания. 20.10.03 09:40
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
> Причем завис так, что ни на клавиатуру, ни на мышь,
> ни на кнопку повероффф никак не реагировал. В связи с тем,
> что это Пролиант, не оставалось ничего другого как отрубить
> питание.
Кратковременное нажатие на кнопку выключения питания дает сигнал системе/программному обеспечению о программном выключении. Долговременное нажатие на кнопку выключения питания (более 4 секунд) аппаратно выключает питание.
|
|
Ужас из жизни W2kServer... 18.10.03 15:31
Автор: Den <Denis> Статус: The Elderman
|
|
Однажды такое было из-за McAffee NetShield (не помню какая версия)
|
| |
Ужас из жизни W2kServer... 18.10.03 15:38
Автор: Nour Статус: Незарегистрированный пользователь
|
> Однажды такое было из-за McAffee NetShield (не помню какая
> версия)
McAfee стоит, но без NetShield-a. Все равно попробую его убрать на время. Спасибо.
|
|
Ужас из жизни W2kServer... 18.10.03 03:15
Автор: void <Grebnev Valery> Статус: Elderman
|
> Доброго всем утра/дня/вечера/ночи,
О перезагрузке. Такое было (давно), если на этом сервере установлен
непропаченный MS SQL Server и при условии расположения могутных баз там.
Бывала не только "самопроизвольная" перезагрузка, но и перезагрузка
при попытке подсчитать некую статистику в базе с миллионами
записей. SQL долго-долго думал, а потом ребут компу говорил.
|
| |
Ужас из жизни W2kServer... 18.10.03 15:26
Автор: Nour Статус: Незарегистрированный пользователь
|
> О перезагрузке. Такое было (давно), если на этом сервере
> установлен
> непропаченный MS SQL Server и при условии расположения
> могутных баз там.
> Бывала не только "самопроизвольная" перезагрузка, но и
> перезагрузка
> при попытке подсчитать некую статистику в базе с миллионами
> записей. SQL долго-долго думал, а потом ребут компу
> говорил.
SQL отпадает, т.к. пропачен и база там только Veritas и McAfee Orchestrator.
|
|
Ужас из жизни W2kServer... 17.10.03 22:58
Автор: JINN <Sergey> Статус: Elderman
|
> Не далее как вчера мой ДС на W2kServer завис без объяснения
> причин. Причем завис так, что ни на клавиатуру, ни на мышь,
> ни на кнопку повероффф никак не реагировал. В связи с тем,
> что это Пролиант, не оставалось ничего другого как отрубить
> питание. Видимо молился я усердно, так как все поднялось
> без проблем, ну или почти. Единственное что умерло, так это
> wins, которая востанавливается левым пальцем правой ноги. А
> вот сегодня.... сегондя начались чудеса.
> Машина стала уходить в ребут. Все так же тихо как и зависла
> вчера. В логах чистота полная, аж тошнит. Единственное
> после ребута появляется сообщение "unexpected shundown" и
> сообщение от Save Dump под номером 1001 о том, что "The
> computer has rebooted from a bugcheck. The bugcheck was:
> 0x00000001 (0xbla-bla, bla-bla). Все остальное в полном
> порядке, ни ворнингов ни ерроров. Закономерности в ребутах
> тоже никакой. Сидел в холодильнике весь день. То через 10
> минут ребут, а то через 3 часа. Активность юзеров
> одинаковая, т.е. ее никакой, две машины лазили в инете весь
> день и больше ничего. Вооот...
> Есть какие-нибудь мысли по поводу вышесказанного у
> многоуважаемого олл?
RPC исключён? Какие SP, патчи установлены?
Как вариант - начать с проверки железа (питание в сети, осмотр внутренностей на предмет еле вращающегося кулера, вздувшихся кондёров и т.д.)
Раз активность пользователей близка к 0 - отключить комп от сети (тем более, что выходные на носу) и погонять тестами Пролиант сам по себе.
|
| |
Ужас из жизни W2kServer... 17.10.03 23:41
Автор: Nour Статус: Незарегистрированный пользователь
Отредактировано 17.10.03 23:43 Количество правок: 1
|
> RPC исключён? Какие SP, патчи установлены?
Патчи и SP все стоят. 16го залил самые последние 4 штуки.
Про RPC думал, но не знаю как проверить. Можно тут по-подробнее?
Есть еще одно "но". Вчера настраивал дома ноутбук под ХР и при подключении ADSL модема (usb) через некоторое время появлялась интересная надпись, что-то вроде "System must be shut down. Shutdown initiated by RPC/NT_AUTHORITY" и обратный отсчет от минуты. Точно сообщение не помню. Никогда такого не видел. Если модем не подключать, то все нормально. Я подумал, что драйвера для модема кривые и забил. Сегодня этот ноутбук включил в сетку на работе. Вот думаю не из-за него-ли вся шняга.
> Как вариант - начать с проверки железа (питание в сети,
> осмотр внутренностей на предмет еле вращающегося кулера,
> вздувшихся кондёров и т.д.)
Питание в сети нормальное, упсы даже не пикнули. Кулеры все проверил. Температура на процах, чипах чипсета, контроллеров, памяти и винтах нормальная.
> Раз активность пользователей близка к 0 - отключить комп от
> сети (тем более, что выходные на носу) и погонять тестами
> Пролиант сам по себе.
Видимо этим придется занятся, но сервак совершенно новый, так что думаю тут что-то в другом.
|
| | | | |
Ужас из жизни W2kServer... 18.10.03 16:34
Автор: !mm <Ivan Ch.> Статус: Elderman
|
> http://www.microsoft.com/technet/treeview/default.asp?url=/
> > technet/security/bulletin/MS03-026.asp
> Спасибо, утилиту скачаю и проверю. Но вопрос был о сервере?
> У меня этот ворм может быть и на сервере? Ведь он пропачен
> был изночально. Или этот ноутбук с червем рушит сервер?
Если это ворм, то он рушит сейчас всю твою сеть с ядром NT (с включенным RPC DCOM) , включая сервер, и, наверняка, уже заразил все, что можно.
|
| | | | | |
Все сделал...одно лечим, новое выползает...:( 19.10.03 02:01
Автор: Nour Статус: Незарегистрированный пользователь
Отредактировано 20.10.03 03:13 Количество правок: 1
|
Вылечил ноутбук. Ни на каких других машинах, включая сервер, ворма не обнаружил. Но...
Заметил еще одну странность. Одна из машин постоянно, по 10-15 пакетов в секунду, шлет icmp на 72 порт на все адреса класса B по порядку. Самый настоящий скан. Машина, опять-таки, только что установлена. Даже софта нет, только система (2kPro) и все пачи к ней. DCOM вырубил везде, на всякий случай. Непонятность еще в том, что в инет мы выходим тоже через локальную сеть, т.е. нет прямого конекта в инет. На серваке поднят NAT и два интерфейса, .1.1 и 15.1, все как обычно. Дык откуда вся эта зараза может лезть ко мне?! Или у нашего провайдера тоже никакой защиты нет? Или может он хакнук по самые "не балуй"? Блин.... В понедельник нужно будет звонить...
|
| | | | | | |
Все сделал...одно лечим, новое выползает...:( 20.10.03 13:32
Автор: Garick <Yuriy> Статус: Elderman
|
>все СП установлены...
SP4 for W2K(NT5.0) and SP1A for W_XP (NT5.1) НЕ СОДЕРЖАТ patch 823980! Проверено личным зараженным способом:-))) Надо тянуть патч и ставить.
> Заражено все подряд...
Не факт! Идет попытка заразить случайную область адресов, редко когда это локалка.
> Ходят пакеты....
Конечно ходят:-))) Через НАТ пытаются проскачить наружу:-)))
>Способ лечения...
Вырубить в реестре загрузку червя и прибить исходник (см. на антивирусных сайтах). Установить патч. Закрыть файрваллом "нужные" порты для отсечения заблудших снаружи пакетов. Не пускать непропаченые компы в сетку, особенно ноуты.
PS Если нет проблем с оплатой за ГБ интернета, поставить SUS (System Update Server) от Microsoft (наверное единственно бесплатный!). После установки зайдет примерно 1 ГБ апдейтов. Настроить клиентские машины на локальный SUS. К тому же, патчи на локальном SUS лежат доступно, можно апдейтить "принесенные" компы не перенастраивая на них Windows Update.
|
| | | |
Писал ведь я что тот патч чета ниче не патчит. 18.10.03 01:06
Автор: Killer{R} <Dmitry> Статус: Elderman
|
|
Чтоб на душе было спокойно - dcomcnfg.exe (не уверен что оно есть в ХР и 2000про? но в 2000сервер точно есть) и там отключить DCOM.
|
| | | | |
Или как вариант.. 18.10.03 20:30
Автор: JINN <Sergey> Статус: Elderman
|
> Чтоб на душе было спокойно - dcomcnfg.exe (не уверен что
> оно есть в ХР и 2000про? но в 2000сервер точно есть) и там
> отключить DCOM.
..следуем совету ЗАРАЗА:
"Please instruct you customers to use personal fireWALL in
Windows XP." и
K-OTiK Security
"users MUST block vulnerable ports !"
|
| | |
Ужас из жизни W2kServer... 18.10.03 00:19
Автор: StR <Стас> Статус: Elderman
|
> при подключении ADSL модема (usb) через некоторое время
> появлялась интересная надпись, что-то вроде "System must be
> shut down. Shutdown initiated by RPC/NT_AUTHORITY" и
> обратный отсчет от минуты. Точно сообщение не помню.
> Никогда такого не видел. Если модем не подключать, то все
> нормально. Я подумал, что драйвера для модема кривые и
> забил. Сегодня этот ноутбук включил в сетку на работе. Вот
> думаю не из-за него-ли вся шняга.
msblast aka lovesan
> > Как вариант - начать с проверки железа (питание в
> Видимо этим придется занятся, но сервак совершенно новый,
> так что думаю тут что-то в другом.
У меня подобная фигня была на hp lp2000r, когда из-за поганого кулера сглючился проц... кстати, за год из 8 кулеров вылетело 6...
|
|
|
подробно о проекте
Анализ криптографических сетевых...
