Перейти к содержимому


Фото
- - - - -

Windows Server 2008 падает служба


  • Please log in to reply
13 ответов в этой теме

#1 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 417 Сообщений:

Отправлено 13 Август 2019 - 12:23

Здравствуйте! Может кто из здешних спецов подскажет решение...

Суть проблемы такова. На днях пропал доступ к расшаренным папкам на файловом сервере (Win 2008). Сначала подумалось, что сервер тупо выключен (из-за погоды ночью вырубали свет надолго), но нет - работает, пинги идут, и даже по RDP подключается. Как выяснилось, дело все в службе "Сервер", которая дает доступ к ресурсам. Так вот эта служба на протяжении уже пары-тройки дней периодически отрубается (не часто, раза два-три за день). После перезапуска служба стартует без проблем, доступ к ресурсам появляется моментально. В свойствах службы действия при падении выставлены на перезапуск, но сама она почему-то перезапускаться не хочет. Думаю на выходных проверить систему на целостность (sfc /scannow), но может кто сталкивался с такой проблемой? Да и просто любой совет будет не лишним.



#2 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 3 248 Сообщений:

Отправлено 13 Август 2019 - 13:20

WinKey+R -> eventvwr.exe <Enter>

System/Application -> Filter: Warning, Critical, Error =>> O_o


(exit 0)


#3 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 417 Сообщений:

Отправлено 13 Август 2019 - 14:14

WinKey+R -> eventvwr.exe <Enter>

System/Application -> Filter: Warning, Critical, Error =>> O_o

Консоль просмотра событий не отвечает... просто висит белое окно и все.



#4 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 3 248 Сообщений:

Отправлено 13 Август 2019 - 14:28

Какие характеристики железа у сервера?

Какой сервиспак ОС?


(exit 0)


#5 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 946 Сообщений:

Отправлено 13 Август 2019 - 15:24

WinKey+R -> eventvwr.exe <Enter>
System/Application -> Filter: Warning, Critical, Error =>> O_o

Консоль просмотра событий не отвечает... просто висит белое окно и все.

служба RPC сервера отвалилась похоже.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#6 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 946 Сообщений:

Отправлено 13 Август 2019 - 15:26

ну и без отчета тут можно только гадать, но толку в этом мало. по поведению похож на сетевого червя который роняем DCOM RPC
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#7 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 417 Сообщений:

Отправлено 13 Август 2019 - 16:18

Какие характеристики железа у сервера?

Какой сервиспак ОС?

Проц - Intel Xeon E5-2420 (8 ядер), ОЗУ - 8Gb (уточню - физический сервер 1, но стоит 3 виртуальных, соответственно ресурсы на них распределяются).

 

служба RPC сервера отвалилась похоже.

Служба RPC действительно остановлена, но там запуск установлен "вручную".

Отчет какой именно? Сисинфо, или докторовский (DrWeb - агент от Security Suite)



#8 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 3 248 Сообщений:

Отправлено 13 Август 2019 - 17:11

Отчет какой именно? Сисинфо, или докторовский (DrWeb - агент от Security Suite)

Если подозревается червяк, то лучше, видимо, http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe


(exit 0)


#9 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 417 Сообщений:

Отправлено 14 Август 2019 - 10:17

Kirill Polubelov, Отчет собрать не удалось, сервер ушел в БСОД, причем дважды. Дампы прилагаю, может в них что-то будет видно. Кстати, посмотрел менеджер карантина, видно, что вирусная активность присутствует.

Прикрепленные файлы:



#10 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 3 248 Сообщений:

Отправлено 14 Август 2019 - 12:55

К сожалению, это миникернел дампы, из которых можно только извлечь лишь конечное состояние, регистры. Но, по ним можно сказать, что падение было в разных местах, но связанных с SMB.

 

1. Надо настроить систему на сбор полных дампов (убедившись, что места для свопа достаточно).

2. Попробовать собрать сисинфо в режиме защиты от сбоев (возможно, без поддержки сети).


Сообщение было изменено Kirill Polubelov: 14 Август 2019 - 12:55

(exit 0)


#11 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 662 Сообщений:

Отправлено 14 Август 2019 - 13:44

Denis Nikolayev, а, ну так это WannaCry вас мочит. Ставьте заплатки.

 

Причем уже полгода минимум. Смысл от антивируса если не реагируете вовремя на инцидент?


Сообщение было изменено RomaNNN: 14 Август 2019 - 13:45

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#12 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 417 Сообщений:

Отправлено 14 Август 2019 - 16:35

Denis Nikolayev, а, ну так это WannaCry вас мочит. Ставьте заплатки.

 

Причем уже полгода минимум. Смысл от антивируса если не реагируете вовремя на инцидент?

Подскажите, какие заплатки надо поставить.



#13 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 662 Сообщений:

Отправлено 14 Август 2019 - 16:58

Denis Nikolayev, по хорошему - все. Сейчас вообще все ломают и юзают, уязвимости в win32k.sys, SMB, RDP. На носу волна малвари юзающей BlueKeep-ы (1, 2, и это не конец). Если у вас сервер торчит в интернет, то затыкать дырки выборочно - такое себе, все равно поломают. А если в локалке, то зараза в сети.

 

Конкретно от EthernalBlue спасет MS17-010. После обнов велкам лечиться, нужен отчет SysInfo, ссылку на который давал Кирилл выше. Если дальше будет бсодить, то дамп. Но фулл обновление тут играет роль.


Сообщение было изменено RomaNNN: 14 Август 2019 - 17:09

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#14 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 417 Сообщений:

Отправлено 15 Август 2019 - 08:59

RomaNNN, ок, понял. Будем обновляться, хотя вроде он и сам периодически обновления скачивает, т.к. лицензия и все такое, я не отключал обновления. После выходных попробую отчет прислать, т.к. в будни сервер должен работать, много компов на нем завязано.




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых