Перейти к содержимому


Фото
- - - - -

Windows Server 2008 падает служба


  • Закрыто Тема закрыта
23 ответов в этой теме

#1 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 434 Сообщений:

Отправлено 13 Август 2019 - 12:23

Здравствуйте! Может кто из здешних спецов подскажет решение...

Суть проблемы такова. На днях пропал доступ к расшаренным папкам на файловом сервере (Win 2008). Сначала подумалось, что сервер тупо выключен (из-за погоды ночью вырубали свет надолго), но нет - работает, пинги идут, и даже по RDP подключается. Как выяснилось, дело все в службе "Сервер", которая дает доступ к ресурсам. Так вот эта служба на протяжении уже пары-тройки дней периодически отрубается (не часто, раза два-три за день). После перезапуска служба стартует без проблем, доступ к ресурсам появляется моментально. В свойствах службы действия при падении выставлены на перезапуск, но сама она почему-то перезапускаться не хочет. Думаю на выходных проверить систему на целостность (sfc /scannow), но может кто сталкивался с такой проблемой? Да и просто любой совет будет не лишним.



#2 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 3 440 Сообщений:

Отправлено 13 Август 2019 - 13:20

WinKey+R -> eventvwr.exe <Enter>

System/Application -> Filter: Warning, Critical, Error =>> O_o


(exit 0)


#3 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 434 Сообщений:

Отправлено 13 Август 2019 - 14:14

WinKey+R -> eventvwr.exe <Enter>

System/Application -> Filter: Warning, Critical, Error =>> O_o

Консоль просмотра событий не отвечает... просто висит белое окно и все.



#4 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 3 440 Сообщений:

Отправлено 13 Август 2019 - 14:28

Какие характеристики железа у сервера?

Какой сервиспак ОС?


(exit 0)


#5 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 140 Сообщений:

Отправлено 13 Август 2019 - 15:24

WinKey+R -> eventvwr.exe <Enter>
System/Application -> Filter: Warning, Critical, Error =>> O_o

Консоль просмотра событий не отвечает... просто висит белое окно и все.

служба RPC сервера отвалилась похоже.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#6 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 140 Сообщений:

Отправлено 13 Август 2019 - 15:26

ну и без отчета тут можно только гадать, но толку в этом мало. по поведению похож на сетевого червя который роняем DCOM RPC
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#7 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 434 Сообщений:

Отправлено 13 Август 2019 - 16:18

Какие характеристики железа у сервера?

Какой сервиспак ОС?

Проц - Intel Xeon E5-2420 (8 ядер), ОЗУ - 8Gb (уточню - физический сервер 1, но стоит 3 виртуальных, соответственно ресурсы на них распределяются).

 

служба RPC сервера отвалилась похоже.

Служба RPC действительно остановлена, но там запуск установлен "вручную".

Отчет какой именно? Сисинфо, или докторовский (DrWeb - агент от Security Suite)



#8 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 3 440 Сообщений:

Отправлено 13 Август 2019 - 17:11

Отчет какой именно? Сисинфо, или докторовский (DrWeb - агент от Security Suite)

Если подозревается червяк, то лучше, видимо, http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe


(exit 0)


#9 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 434 Сообщений:

Отправлено 14 Август 2019 - 10:17

Kirill Polubelov, Отчет собрать не удалось, сервер ушел в БСОД, причем дважды. Дампы прилагаю, может в них что-то будет видно. Кстати, посмотрел менеджер карантина, видно, что вирусная активность присутствует.

Прикрепленные файлы:



#10 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 3 440 Сообщений:

Отправлено 14 Август 2019 - 12:55

К сожалению, это миникернел дампы, из которых можно только извлечь лишь конечное состояние, регистры. Но, по ним можно сказать, что падение было в разных местах, но связанных с SMB.

 

1. Надо настроить систему на сбор полных дампов (убедившись, что места для свопа достаточно).

2. Попробовать собрать сисинфо в режиме защиты от сбоев (возможно, без поддержки сети).


Сообщение было изменено Kirill Polubelov: 14 Август 2019 - 12:55

(exit 0)


#11 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 780 Сообщений:

Отправлено 14 Август 2019 - 13:44

Denis Nikolayev, а, ну так это WannaCry вас мочит. Ставьте заплатки.

 

Причем уже полгода минимум. Смысл от антивируса если не реагируете вовремя на инцидент?


Сообщение было изменено RomaNNN: 14 Август 2019 - 13:45

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#12 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 434 Сообщений:

Отправлено 14 Август 2019 - 16:35

Denis Nikolayev, а, ну так это WannaCry вас мочит. Ставьте заплатки.

 

Причем уже полгода минимум. Смысл от антивируса если не реагируете вовремя на инцидент?

Подскажите, какие заплатки надо поставить.



#13 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 780 Сообщений:

Отправлено 14 Август 2019 - 16:58

Denis Nikolayev, по хорошему - все. Сейчас вообще все ломают и юзают, уязвимости в win32k.sys, SMB, RDP. На носу волна малвари юзающей BlueKeep-ы (1, 2, и это не конец). Если у вас сервер торчит в интернет, то затыкать дырки выборочно - такое себе, все равно поломают. А если в локалке, то зараза в сети.

 

Конкретно от EthernalBlue спасет MS17-010. После обнов велкам лечиться, нужен отчет SysInfo, ссылку на который давал Кирилл выше. Если дальше будет бсодить, то дамп. Но фулл обновление тут играет роль.


Сообщение было изменено RomaNNN: 14 Август 2019 - 17:09

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#14 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 434 Сообщений:

Отправлено 15 Август 2019 - 08:59

RomaNNN, ок, понял. Будем обновляться, хотя вроде он и сам периодически обновления скачивает, т.к. лицензия и все такое, я не отключал обновления. После выходных попробую отчет прислать, т.к. в будни сервер должен работать, много компов на нем завязано.



#15 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 434 Сообщений:

Отправлено 19 Август 2019 - 08:09

На выходных провел обновление системы (оказывается служба обновления была вырублена), прошел сканером, перезагрузил и отчет таки сделать удалось. Ссылка на отчет.



#16 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 780 Сообщений:

Отправлено 19 Август 2019 - 09:42

Смотрю сервер у Вас бывалый, был заражен Win32.Sector.30 в 2017, с тех пор почти до 2019 находились и нейтрализовывались файлы в различных местах. Это, наверное, тот редкий случай, когда нужно поставить сканер  на полное сканирование и лечить. Делали?

 

А вот попытки заразить WannaCry-ем первый раз пресечены 25.12.2018, и с тех пор регулярно:

Preventive Protection event: Drop new executable file on disk

id: 1073, timestamp: 08:29:59.942, type: FileExecWrite (53), flags: 1 (wait: 1)
sid: S-1-5-18, cid: 520/556:\Device\HarddiskVolume2\Windows\System32\lsass.exe
context: start addr: 0x7778fbf0, image: 0x77770000:\Device\HarddiskVolume2\Windows\System32\ntdll.dll
  fileinfo: size: 3723264, easize: 39, attr: 0x24, buildtime: 20.11.2010 12:03:08.000, ctime: 26.12.2018 08:29:59.940, atime: 26.12.2018 08:29:59.940, mtime: 26.12.2018 08:29:59.942, descr: , ver: , company: , oname:
  hash: 3b669778698972c402f7c149fc844d0ddb3a00e8 status: unsigned, pe32 / unsigned / unknown / unknown
  drop new executable: \Device\HarddiskVolume2\Windows\mssecsvc.exe
id: 1073 ==> allowed [2], time: 28.137584 ms

Первую версию мы даже в лицо узнали по сигнатурам:

Neutralized object: \device\harddiskvolume2\windows\mssecsvr.exe - quarantined [threat name: {Trojan.Encoder.11432:1}, action: 3, type: 0, ret: 8]

А 3.03.2019 тушку сменили и мы мочили уже по поведению, но все равно до фактического запуска:

Preventive Protection event: Create process

id: 971, timestamp: 08:16:58.423, type: PsCreate (16), flags: 1 (wait: 1)
sid: S-1-5-18, cid: 516/548:\Device\HarddiskVolume2\Windows\System32\lsass.exe
context: start addr: 0x7730fbf0, image: 0x772f0000:\Device\HarddiskVolume2\Windows\System32\ntdll.dll
  created process: \Device\HarddiskVolume2\Windows\System32\lsass.exe:516 --> \Device\HarddiskVolume2\Windows\mssecsvc.exe:1104
  sid: S-1-5-18, bitness: 32, ilevel: system, sesion id: 0, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0
  curdir: C:\Windows\system32\, cmd: C:\WINDOWS\mssecsvc.exe
  fileinfo: size: 3723264, easize: 39, attr: 0x24, buildtime: 20.11.2010 12:03:08.000, ctime: 04.03.2019 08:16:58.181, atime: 04.03.2019 08:16:58.181, mtime: 04.03.2019 08:16:58.183, descr: , ver: , company: , oname: 
  hash: 3b669778698972c402f7c149fc844d0ddb3a00e8 status: unsigned, pe32, new_pe / unsigned / unknown / unknown
  hips: type: 18, action: deny [5]
send user blocked alert
path: \Device\HarddiskVolume2\Windows\mssecsvc.exe ==> denied access to file
process: \Device\HarddiskVolume2\Windows\mssecsvc.exe:1104 ==> suspended all threads in process
path: \Device\HarddiskVolume2\Windows\mssecsvc.exe ==> quarantined
send driver event reply for unblock process ==> success
process: \Device\HarddiskVolume2\Windows\mssecsvc.exe:1104 ==> terminated
disinfect: \Device\HarddiskVolume2\Windows\mssecsvc.exe ==> quarantined [8]
analyze object behavior and find traces:
can't find traces for object: \Device\HarddiskVolume2\Windows\mssecsvc.exe
threat: DPH:Trojan.ExecExploit ==> sended user virus found alert
id: 971 ==> denied [5], time: 147915.047408 ms

И так до обновления.

 

Сегодня утром нашли и вылечили майнер, а также другую вредоносную dll вместе со службой.

Neutralized object: \Device\HarddiskVolume2\Windows\System32\dllhostex.exe - quarantined, reboot required [threat name: {Tool.BtcMine.1980:9}, action: 3, type: 8, ret: 1000008]

Neutralized object: \Device\HarddiskVolume2\windows\system32\secureprotocolmanager.dll - deleted [threat name: {Trojan.Vools.16:1}, action: 2, type: 4, ret: 8]
delete key: path = \Registry\Machine\System\ControlSet001\Services\SecureProtocolManager, status 0x0
delete key: path = \Registry\Machine\System\ControlSet002\Services\SecureProtocolManager, status 0x0

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#17 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 434 Сообщений:

Отправлено 19 Август 2019 - 10:11

RomaNNN, да, серверу у нас бывало доставалось. Первая серьезная проблема возникла, когда один сотрудник по незнанию открыл в почте письмо с вложением и схватил шифровальщика, который через подключенный сетевой диск залез на сервер и съел почти все данные (документы, БД). Спасли ежедневные бэкапы. Сектор тоже был, долго с ним боролся, но потом видимых проявлений не было - несколько раз полной проверкой проходил, ничего не находилось. На этих выходных полной не проходил, запускал быструю... ну точнее первоначально запустил полную, сканер два зараженных объекта нашел и вылечил. Но сканирование шло крайне медленно, через 4 часа где-то процентов 20 всего завершено было, поэтому я сканер выключил, перезагрузил сервер, прошел быстрой проверкой, накатил обновления и провел проверку системы (sfc), которая ошибок не выявила. Вечером поставлю опять на полное сканирование, надеюсь за ночь управится. Будут ли у вас еще какие-либо советы?



#18 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 780 Сообщений:

Отправлено 19 Август 2019 - 10:31

Еще много событий Inject-ов, понаблюдайте, после обновления системы и выпиливания вредоносного сервиса еще такие будут?

id: 50121, timestamp: 10:30:00.636, type: PsInject (43), flags: 1 (wait: 1)
sid: S-1-5-18, cid: 8496/17320:\Device\HarddiskVolume2\Windows\System32\svchost.exe
context: start addr: 0x12c7de0, image: 0x12c0000:<unknown>
  hips: type: 18, action: deny [5]
  curdir: C:\Windows\system32\, cmd: C:\Windows\system32\svchost.exe -k netsvcs
  fileinfo: size: 27136, easize: 0, attr: 0x20, buildtime: 14.07.2009 02:31:13.000, ctime: 14.07.2009 02:31:13.886, atime: 14.07.2009 02:31:13.886, mtime: 14.07.2009 04:39:46.503, descr: Host Process for Windows Services, ver: 6.1.7600.16385 (win7_rtm.090713-1255), company: Microsoft Corporation, oname: svchost.exe
  catfile: {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\ntexe.cat
  hash: 619652b42afe5fb0e3719d7aeda7a5494ab193e8 status: signed_catroot, sfc, system_file_host, pe64 / signed_catroot / unknown / svchost
  inject: ChangeThreadContext [2], flags: 0x18, start addr: 0x0, addr: 0x0, param: 0x0, len: 0, target: bitness: 64, init: 0, image: \Device\HarddiskVolume2\Windows\System32\wuauclt.exe:2188
  fileinfo: size: 57880, easize: 0, attr: 0x20, buildtime: 03.06.2012 01:15:11.000, ctime: 14.11.2013 11:38:45.472, atime: 14.11.2013 11:38:45.472, mtime: 03.06.2012 01:19:42.002, descr: Windows Update, ver: 7.6.7600.256 (winmain_wtr_wsus3sp2(oobla).120602-1505), company: Microsoft Corporation, oname: wuauclt.exe
  signer: C=US|ST=Washington|L=Redmond|O=Microsoft Corporation|OU=MOPR|CN=Microsoft Windows Component Publisher, timestamp: 03.06.2012 01:22:56.000, thumbprint: ad71d7adc520f515254c3845d4460261c6c2be84
  catfile: {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\WUClient-SelfUpdate-Core-CoreComp~31bf3856ad364e35~amd64~~7.6.7600.256.cat
  hash: 883d5312d7f6bf03ab56761ff110784e4ba2edec status: signed_catroot, sfc, pe64 / signed_catroot / unknown / unknown
threat: DPH:Trojan.Inject.2.24 ==> send user blocked alert
process: \Device\HarddiskVolume2\Windows\System32\svchost.exe:8496 ==> suspended all threads in process
send driver event reply for unblock process ==> success
process: \Device\HarddiskVolume2\Windows\System32\svchost.exe:8496 ==> terminated
process: \Device\HarddiskVolume2\Windows\System32\wuauclt.exe:2188 ==> suspended all threads in process
process: \Device\HarddiskVolume2\Windows\System32\wuauclt.exe:2188 ==> terminated
send user blocked alert
id: 50121 ==> denied [5], time: 0.749600 ms

Больше, вроде, ничего не приглянулось. Что с первоначальной проблемой?


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#19 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 434 Сообщений:

Отправлено 19 Август 2019 - 11:01

RomaNNN, первоначальная проблема пока что не возникала после обновления и проверки. Завтра после того, как закончится полное сканирование, соберу отчет и выложу, глянете своим опытным глазом :)



#20 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 434 Сообщений:

Отправлено 20 Август 2019 - 08:37

RomaNNN, Поставил на ночь полную проверку сканером, правда утром сервер мне радостно сообщил, что после установки очередных обновлений он перезагружался, поэтому естественно увидеть, закончил ли сканер работу, мне не удалось. Но судя по карантину вирусная активность есть (ну или может быть остатки недобитые). Прикрепляю лог сисинфо.




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых