Здравствуйте!
По несколько раз в день стал перезагружаться сервер. ОС Windows Server 2016. В логах ошибка: "Критический системный процесс "C:\Windows\system32\lsass.exe" завершился ошибкой с кодом состояния c0000374. Необходимо перезагрузить компьютер."
Помогите пожалуйста разобраться.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) AlekseyI, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Система обновляется?
Похоже, пытаются подключиться снаружи по RDP, возможно, долбят через уязвимости, могут быть из-за этого перезагрузки.
Имя компьютера: VS1L2
Код события: 4625
Сообщение: Учетной записи не удалось выполнить вход в систему.
Субъект:
ИД безопасности: S-1-0-0
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0
Тип входа: 3
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: S-1-0-0
Имя учетной записи: SA
Домен учетной записи:
Сведения об ошибке:
Причина ошибки: Выбранный режим входа для данного пользователя на этом компьютере не предусмотрен.
Состояние: 0xC000015B
Подсостояние: 0x0
Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -
Сведения о сети:
Имя рабочей станции: -
Сетевой адрес источника: 217.76.45.148
Отключите временно антивирус - у него ложное срабатывание на компоненты используемой далее программы.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
Вирусов нет.
Сообщите в личку внешний ip сервера, проверю на уязвимости.
- - - - -Добавлено - - - - -
По RDP безопасное подключение, но могут долбить и по сети.
MS SQL Server до последнего SP обновлён?
Насчет последнего сервис пака точно не знаю - буду смотреть. Версия SQL сервера 10.50.1600.1
Возможно конечно и в сети зараженный компьютер, но ведь IP адреса в логе - внешние.
Сделайте экспорт журналов событий: система, безопасность, приложение, упакуйте 7-Zip с ультра сжатием и загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку.
Результат будет в папке с AVZ в архиве Events.7z с оптимальным сжатием.
- - - - -Добавлено - - - - -
В журналах событий смущает следующее от Symantec AntiVirus:
25.07.2020 14:04:31 Обнаружена угроза!Trojan.Gen.2 в файле: C:\Users\SQL2000ServerUser\Videos\DisplayDrivir\Ma sscan\masscan.exe. Тип сканирования: Автоматическая защита. Действие: Карантин выполнено : Доступ запрещен. Описание действия: Файл успешно помещен в карантин.
Похоже, что всё же через MS SQL Server внедрились и пытаются в сети закрепиться.
Меняйте пароль у SQL2000ServerUser, ограничивайте права по возможности, ставьте все обновления. На SA пароль тоже меняйте, для верности.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Пароли сменил. Так же добавил на маршрутизаторе порядка 30 правил с IP адресами из лога безопасности - сервер перестал перезагружаться. Но это скорее временное решение - IP адреса всегда новые - на все правил не хватит.
Проще использовать белые списки, занести в них все подсети, с которых подключаются легитимно, как правило, это адресация местных провайдеров.
Что за роутер, кстати?
Выделите и скопируйте в буфер обмена следующий код:
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Если не старый белый Giga, а II или III, то настраиваем доступ не по отдельным адресам, а по подсетям по инструкции, т. е. вверху идут разрешающие правила.
Принцип простой, легитимный пользователь подключается с ip адреса, ищем на https://2ip.ru/whois/ или подобном ресурсе диапазон адресов провайдера, в который он входит, и подбираем наиболее подходящую маску для правила, т. к. с диапазонами кинетики не умеют работать.
Роутер старый -белый. В итоге я переназначил входящий порт RDP - попытки взлома прекратились. Сервер больше не перезагружается. Новый порт буду сообщать по одному пользователю за раз. Таким образом вычислю откуда полезут.
Спасибо Вам за помощь!
Смена порта ненадолго помогает, как правило.
Если придёт пора менять роутер, а она придёт, старые гиги мрут от старости, моя ещё 3 года назад коньки откинула, посмотрите в сторону Mikrotik, недорогие роутеры профессионального уровня. И позволяют настраивать всяческие вещи, связанные с безопасностью: VPN, port knoking, и даже такую автоматическую блокировку.