Сегодня произошла непредвиденная остановка терминального сервера (питание есть, сервер работает, нет сигнала на мониторе, нет реакции на нажатие клавиш, нет индикации активности дисков).
После перезагрузки были проблемы с подключением части терминальных клиентов.
В журнале системы появились подозрительные ошибки:
Код:
Тип события: Ошибка
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7028
Дата: 01.04.2009
Время: 17:37:23
Пользователь: Н/Д
Компьютер: SRV006
Описание:
В разделе реестра kgyjjnokbhy запрещен доступ к программам
учетной записи SYSTEM, поэтому владельцем раздела реестра
стал диспетчер служб.
При очередной перезагрузке (после проверки в безопасном режиме утилитой CureIt) было зависание на этапе восстановления сетевых подключений.
Утилита при проверке ничего не нашла.
Установленный на сервере КАВ 6 тоже не выдавал сообщений об обнаружении вирусов на время сбоя.
Логи диагностики прилагаются.
Надеюсь на помощь!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Осталось только несколько вопросов:
1. Что за каталоги C:\Documents and Settings\administrator\WINDOWS\ в профилях всех пользователей на этом сервере? Они реально существуют и в них находятся файлы.
На "чистых" серверах в профилях пользователя таких папок нет.
2. Что за процесс запущен из папки
C:\Documents and Settings\administrator\WINDOWS\System32\smss.exe
(в проводнике я такого файла в этом каталоге не вижу) или это глюк AVZ под w3k и на самом деле запущен процесс C:\WINDOWS\System32\smss.exe?
3. Что за вирус мы подцепили на этом сервере и какая у него была деструктивная функция?
2. Что за процесс запущен из папки
C:\Documents and Settings\administrator\WINDOWS\System32\smss.exe
(в проводнике я такого файла в этом каталоге не вижу) или это глюк AVZ под w3k и на самом деле запущен процесс
Это глюк АВЗ на серваках. Собственно и по первому вопросу тот же ответ
Сообщение от Igor_
3. Что за вирус мы подцепили на этом сервере и какая у него была деструктивная функция?
1. Что за каталоги C:\Documents and Settings\administrator\WINDOWS\ в профилях всех пользователей на этом сервере? Они реально существуют и в них находятся файлы.
Особенность терминального сервера. Отсюда и характерные глюки всех программ исследования.
Особенность терминального сервера. Отсюда и характерные глюки всех программ исследования.
Я про реально существующие папки на зараженном сервере, а не про запись в логе.
На "чистом" терминальном сервере этих папок нет.
На сколько я знаю, никаких папок Windows в профилях пользователей быть не должно.
Кстати, позавчера переустановил на нем антивирус. Вместо КАВ для FS поставил Enterprise. Сначала все было нормально, но после очередной перезагрузки выскочило предупреждение об ошибке при запуске служб. В результате, не запущены службы Netlogon и еще несколько связанных с сетью служб. К сожалению, не я перезагружал сервер. Рассказали мне об этом уже утром.
Запустить службы вручную не удается. Более подробно опишу в Пн. Хотя, м.б. будет быстрее и правильнее переустановить этот сервер с нуля, чем вылавливать остатки блох..
Последний раз редактировалось Igor_; 04.04.2009 в 10:01.
Причина: Дополнение
Я про реально существующие папки на зараженном сервере, а не про запись в логе.
На "чистом" терминальном сервере этих папок нет.
На сколько я знаю, никаких папок Windows в профилях пользователей быть не должно.
У пользователей терминального сервера эти папки как раз и есть. Сам видел.
Вчера выяснил, что сбой описанный выше (в №8 сообщении) похоже вызван тем, что на сервере отсутствует служба Net Logon (Сетевой вход в систему)
В списке служб ее вообще нет..
Как она пропала не понятно.. И как ее проще восстановить?
Потратив три дня на попытку разобраться, что же мешает службам запускаться, решил переустановить сервер.
Последний раз редактировалось Rene-gad; 10.04.2009 в 17:47.
История еще не закончилась. После перестановки системы были обнаружены проблемы с подключением к серверу. После 10-15 минут работы пропадает пинг его IP и становится невозможно подключиться по RDP. С консоли сервера доступ к сети есть. Каких либо проблем в работе не обнаружено.
Однако, в процессе выяснения причин такого поведения в групповых политиках случайно обнаружил "левые" правила:
Код:
Windows Firewall: Allow inbound file and printer sharing exception
Allow unsolicited incoming messages from these IP addresses:192.168.0.108
и
Код:
Windows Firewall: Allow inbound remote administration exception
Allow unsolicited incoming messages from these IP addresses:192.168.0.108
Это последствия заражения вирусом Trojan.Win32.Tdss.wlf ?
Или пора проверять персонал работавший на зараженном сервере на благонадежность?
Последний раз редактировалось Igor_; 10.04.2009 в 19:25.
Причина: исправление
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: