Не далее как вчера мой ДС на W2kServer завис без объяснения причин. Причем завис так, что ни на клавиатуру, ни на мышь, ни на кнопку повероффф никак не реагировал. В связи с тем, что это Пролиант, не оставалось ничего другого как отрубить питание. Видимо молился я усердно, так как все поднялось без проблем, ну или почти. Единственное что умерло, так это wins, которая востанавливается левым пальцем правой ноги. А вот сегодня.... сегондя начались чудеса.
Машина стала уходить в ребут. Все так же тихо как и зависла вчера. В логах чистота полная, аж тошнит. Единственное после ребута появляется сообщение "unexpected shundown" и сообщение от Save Dump под номером 1001 о том, что "The computer has rebooted from a bugcheck. The bugcheck was: 0x00000001 (0xbla-bla, bla-bla). Все остальное в полном порядке, ни ворнингов ни ерроров. Закономерности в ребутах тоже никакой. Сидел в холодильнике весь день. То через 10 минут ребут, а то через 3 часа. Активность юзеров одинаковая, т.е. ее никакой, две машины лазили в инете весь день и больше ничего. Вооот...
Есть какие-нибудь мысли по поводу вышесказанного у многоуважаемого олл?
По поводу кнопки выключения питания.20.10.03 09:40 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
> Причем завис так, что ни на клавиатуру, ни на мышь, > ни на кнопку повероффф никак не реагировал. В связи с тем, > что это Пролиант, не оставалось ничего другого как отрубить > питание.
Кратковременное нажатие на кнопку выключения питания дает сигнал системе/программному обеспечению о программном выключении. Долговременное нажатие на кнопку выключения питания (более 4 секунд) аппаратно выключает питание.
Ужас из жизни W2kServer...18.10.03 15:31 Автор: Den <Денис Т.> Статус: The Elderman
> Однажды такое было из-за McAffee NetShield (не помню какая > версия) McAfee стоит, но без NetShield-a. Все равно попробую его убрать на время. Спасибо.
Ужас из жизни W2kServer...18.10.03 03:15 Автор: void <Grebnev Valery> Статус: Elderman
О перезагрузке. Такое было (давно), если на этом сервере установлен
непропаченный MS SQL Server и при условии расположения могутных баз там.
Бывала не только "самопроизвольная" перезагрузка, но и перезагрузка
при попытке подсчитать некую статистику в базе с миллионами
записей. SQL долго-долго думал, а потом ребут компу говорил.
Ужас из жизни W2kServer...18.10.03 15:26 Автор: Nour Статус: Незарегистрированный пользователь
> О перезагрузке. Такое было (давно), если на этом сервере > установлен > непропаченный MS SQL Server и при условии расположения > могутных баз там. > Бывала не только "самопроизвольная" перезагрузка, но и > перезагрузка > при попытке подсчитать некую статистику в базе с миллионами > записей. SQL долго-долго думал, а потом ребут компу > говорил. SQL отпадает, т.к. пропачен и база там только Veritas и McAfee Orchestrator.
Ужас из жизни W2kServer...17.10.03 22:58 Автор: JINN <Sergey> Статус: Elderman
> Не далее как вчера мой ДС на W2kServer завис без объяснения > причин. Причем завис так, что ни на клавиатуру, ни на мышь, > ни на кнопку повероффф никак не реагировал. В связи с тем, > что это Пролиант, не оставалось ничего другого как отрубить > питание. Видимо молился я усердно, так как все поднялось > без проблем, ну или почти. Единственное что умерло, так это > wins, которая востанавливается левым пальцем правой ноги. А > вот сегодня.... сегондя начались чудеса. > Машина стала уходить в ребут. Все так же тихо как и зависла > вчера. В логах чистота полная, аж тошнит. Единственное > после ребута появляется сообщение "unexpected shundown" и > сообщение от Save Dump под номером 1001 о том, что "The > computer has rebooted from a bugcheck. The bugcheck was: > 0x00000001 (0xbla-bla, bla-bla). Все остальное в полном > порядке, ни ворнингов ни ерроров. Закономерности в ребутах > тоже никакой. Сидел в холодильнике весь день. То через 10 > минут ребут, а то через 3 часа. Активность юзеров > одинаковая, т.е. ее никакой, две машины лазили в инете весь > день и больше ничего. Вооот... > Есть какие-нибудь мысли по поводу вышесказанного у > многоуважаемого олл? RPC исключён? Какие SP, патчи установлены?
Как вариант - начать с проверки железа (питание в сети, осмотр внутренностей на предмет еле вращающегося кулера, вздувшихся кондёров и т.д.)
Раз активность пользователей близка к 0 - отключить комп от сети (тем более, что выходные на носу) и погонять тестами Пролиант сам по себе.
Ужас из жизни W2kServer...17.10.03 23:41 Автор: Nour Статус: Незарегистрированный пользователь Отредактировано 17.10.03 23:43 Количество правок: 1
> RPC исключён? Какие SP, патчи установлены? Патчи и SP все стоят. 16го залил самые последние 4 штуки.
Про RPC думал, но не знаю как проверить. Можно тут по-подробнее?
Есть еще одно "но". Вчера настраивал дома ноутбук под ХР и при подключении ADSL модема (usb) через некоторое время появлялась интересная надпись, что-то вроде "System must be shut down. Shutdown initiated by RPC/NT_AUTHORITY" и обратный отсчет от минуты. Точно сообщение не помню. Никогда такого не видел. Если модем не подключать, то все нормально. Я подумал, что драйвера для модема кривые и забил. Сегодня этот ноутбук включил в сетку на работе. Вот думаю не из-за него-ли вся шняга.
> Как вариант - начать с проверки железа (питание в сети, > осмотр внутренностей на предмет еле вращающегося кулера, > вздувшихся кондёров и т.д.) Питание в сети нормальное, упсы даже не пикнули. Кулеры все проверил. Температура на процах, чипах чипсета, контроллеров, памяти и винтах нормальная.
> Раз активность пользователей близка к 0 - отключить комп от > сети (тем более, что выходные на носу) и погонять тестами > Пролиант сам по себе. Видимо этим придется занятся, но сервак совершенно новый, так что думаю тут что-то в другом.
Ужас из жизни W2kServer...18.10.03 10:11 Автор: butch Статус: Незарегистрированный пользователь
> http://www.microsoft.com/technet/treeview/default.asp?url=/ > > technet/security/bulletin/MS03-026.asp > Спасибо, утилиту скачаю и проверю. Но вопрос был о сервере? > У меня этот ворм может быть и на сервере? Ведь он пропачен > был изночально. Или этот ноутбук с червем рушит сервер?
Если это ворм, то он рушит сейчас всю твою сеть с ядром NT (с включенным RPC DCOM) , включая сервер, и, наверняка, уже заразил все, что можно.
Все сделал...одно лечим, новое выползает...:(19.10.03 02:01 Автор: Nour Статус: Незарегистрированный пользователь Отредактировано 20.10.03 03:13 Количество правок: 1
Вылечил ноутбук. Ни на каких других машинах, включая сервер, ворма не обнаружил. Но...
Заметил еще одну странность. Одна из машин постоянно, по 10-15 пакетов в секунду, шлет icmp на 72 порт на все адреса класса B по порядку. Самый настоящий скан. Машина, опять-таки, только что установлена. Даже софта нет, только система (2kPro) и все пачи к ней. DCOM вырубил везде, на всякий случай. Непонятность еще в том, что в инет мы выходим тоже через локальную сеть, т.е. нет прямого конекта в инет. На серваке поднят NAT и два интерфейса, .1.1 и 15.1, все как обычно. Дык откуда вся эта зараза может лезть ко мне?! Или у нашего провайдера тоже никакой защиты нет? Или может он хакнук по самые "не балуй"? Блин.... В понедельник нужно будет звонить...
Все сделал...одно лечим, новое выползает...:(20.10.03 13:32 Автор: Garick <Yuriy> Статус: Elderman
>все СП установлены...
SP4 for W2K(NT5.0) and SP1A for W_XP (NT5.1) НЕ СОДЕРЖАТ patch 823980! Проверено личным зараженным способом:-))) Надо тянуть патч и ставить.
> Заражено все подряд... Не факт! Идет попытка заразить случайную область адресов, редко когда это локалка.
> Ходят пакеты.... Конечно ходят:-))) Через НАТ пытаются проскачить наружу:-)))
>Способ лечения...
Вырубить в реестре загрузку червя и прибить исходник (см. на антивирусных сайтах). Установить патч. Закрыть файрваллом "нужные" порты для отсечения заблудших снаружи пакетов. Не пускать непропаченые компы в сетку, особенно ноуты.
PS Если нет проблем с оплатой за ГБ интернета, поставить SUS (System Update Server) от Microsoft (наверное единственно бесплатный!). После установки зайдет примерно 1 ГБ апдейтов. Настроить клиентские машины на локальный SUS. К тому же, патчи на локальном SUS лежат доступно, можно апдейтить "принесенные" компы не перенастраивая на них Windows Update.
> Чтоб на душе было спокойно - dcomcnfg.exe (не уверен что > оно есть в ХР и 2000про? но в 2000сервер точно есть) и там > отключить DCOM. ..следуем совету ЗАРАЗА:
"Please instruct you customers to use personal fireWALL in
Windows XP." и
K-OTiK Security
"users MUST block vulnerable ports !"
Ужас из жизни W2kServer...18.10.03 00:19 Автор: StR <Стас> Статус: Elderman
> при подключении ADSL модема (usb) через некоторое время > появлялась интересная надпись, что-то вроде "System must be > shut down. Shutdown initiated by RPC/NT_AUTHORITY" и > обратный отсчет от минуты. Точно сообщение не помню. > Никогда такого не видел. Если модем не подключать, то все > нормально. Я подумал, что драйвера для модема кривые и > забил. Сегодня этот ноутбук включил в сетку на работе. Вот > думаю не из-за него-ли вся шняга. msblast aka lovesan
> > Как вариант - начать с проверки железа (питание в > Видимо этим придется занятся, но сервак совершенно новый, > так что думаю тут что-то в другом. У меня подобная фигня была на hp lp2000r, когда из-за поганого кулера сглючился проц... кстати, за год из 8 кулеров вылетело 6...
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
