Jump to content

Exchange 2016 CU21 - täglicher Start eines Dienstes lässt die CPU auf 100% arbeiten...


Snowman_24

Recommended Posts

Guten Morgen,

 

wie in der Überschrift schon angedeutet, kämpfe ich mit einem richtigen Problem auf einem Exchange Server.
Folgende Konstellation:

- Server 2016 std. als VM unter MS Hyper-V 2016 Server

- Exchange Server 2016 CU 21 unter einer 2016er Domäne (andere VM ist der DC)

- 16 CPU Kerne (Intel Xeon 2x E5-2680) zugewiesen, 64GB RAM, 2x Virtuelles Laufwerk - C: 150GB Nur Betriebssystem 78GB frei/ E: 350GB Nur Exchange-Server 80GB frei

- etwa 40 User - Postfachbeschränkung auf 2GB

- Backup über Veeam Backup & Replication auf dem Hyper-V auf unterschiedliche Medien

- Kaspersky Security 11 für Windows Servers über KSC

- Kaspersky Security 9.0 für Microsoft Exchange Servers (SPAM/Virenschutz)

- erreichbar über SMTP 25 / SMTPS 2525 und HTTPS 443 aus dem Internet über Firewall

- regelmäßige monatliche Installation von Windows Updates über WSUS, sowie Security-Check mittels Msert.exe und eomt.ps

 

Das Problem, welches ich habe, sieht so aus:

Einmal am Tag startet irgendwann ein Dienst/Programm, welches die rundll32.exe im Hintergrund startet.
Diese lässt die CPU sofort auf 100% Auslastung hochschnellen und belegt den Arbeitsspeicher auf rund 2,4GB.

Mittels Process Explorer und dem Ereignisprotokoll "System" konnte ich herausfinden, dass dies zu unterschiedlichen Zeiten, aber meistens Nachts passiert

und aber zum gleichen Zeitpunkt im Systemprotokoll folgendes protokolliert wird:

"Im System wurde ein Dienst installiert. 

Dienstname: WinRing0_1_2_0

Dienstdateiname: C:\Windows\System32\WinRing0x64.sys

Diensttyp: Kernelmodustreiber

Dienststarttyp: Manuell starten

Dienstkonto:

 

Die Datei WinRing0x64.sys habe ich bereits überprüft - es ist noch die originale Datei - die wurde nicht von einem Trojaner etc. ersetzt.

Process Explorer: Autostart Location: n/a - also wird das durch irgendwas anderes mit gestartet.

 

Das Problem besteht mittlerweile seit etwa Januar, also auch schon unter CU19.
Aufgrund der Meldungen, dass so und so viele Exchange-Server bereits "gehackt" wurden,

habe ich den Exchange-Server schon mehrmals "offline" gesetzt, also die Netzwerkkarte in der VM

geändert und dann nochmals und mehrmals Kaspersky einen Fullcheck laufen lassen, sowie Msert einen Fulltest laufen lassen.
Bisher aber Gott sei Dank immer ohne Ergebnisse, also hoffe ich mal, dass das nichts damit zu tun hat.

Das hilft mir aber auch nicht mehr weiter, weil ich wirklich täglich, um 06:00 Uhr noch vor dem Frühstück zum PC renne

und den Dienst rundll32.exe manuell beende oder auch mal einfach die Zugehörigkeit der CPU von 16 auf nur einen Kern ändere.
Zweiteres hilft dann tatsächlich manchmal  sogar ein paar Tage.

 

Ich habe schon viele Exchange-Server aufgesetzt und migriert, Updates installiert und lange betreut - also regelmäßig mit Updates versehen und überprüft, seit Exchange Version 2010, 

aber sowas hatte ich noch nie und ich finde einfach nicht, woran das liegt.

 

Könnt Ihr mir eventuell noch ein paar Tipps geben?

 

Google, etc. konnte mir überhaupt nicht weiterhelfen.

 

Danke schonmal im Voraus und habt einen schönen Tag.

 

Grüße

Marcus

Link to post
vor einer Stunde schrieb NorbertFe:

Und auf die Idee, einfach mal nen neuen Exchange hochzuziehen und zu migrieren bist du in den ganzen Monaten noch nicht gekommen? Die erwähnte Datei sagt mir nix und ich würde sagen, die gehört auch nicht zu Windows 

Hallo Norbert,

 

natürlich bin ich auf die Idee gekommen, aber mangels Ressourcen - also Hardware - ist das einfach zur Zeit nicht möglich. 

vor einer Stunde schrieb tesso:

google sagt einiges über diese Datei. Daher verstehe ich nicht wieso du nichts findest. 

Vertrauen wecken die Aussagen bei mir jedoch nicht. 

Hallo,

 

ja über die Datei schon, dass es eine Systemdatei in Windows ist, also wenn Du die WinRing… meinst. Auch finde ich, dass diese gerne durch eine Trojaner ersetzt wurde, aber das ist ja in meinem Fall nicht passiert. 
 

 

Link to post
vor 1 Minute schrieb tesso:

Wie wäre es mit einer VM?

 

Wie hast du deine Virensuche durchgeführt?

Woher nimmst du die Erkenntnis das die Datei nicht ersetzt wurde?

 

Mal ehrlich, wir haben Juli du wunderst dich seit sechs Monaten über merkwürdige Vorgänge an deinem Server. 

Eine weitere VM bräuchte RAM, CPU-Kerne und weiteren Speicherplatz - gerade der Speicherplatz ist hier Ausschlusskriterium.

 

Die Virensuche habe ich, wie oben schon geschildert, bereits mehrmals mit dem installierten Kaspersky Security sowohl im Offline-

als auch im Online-Modus (also Netzwerk getrennt) laufen lassen, wie auch den Msert.

Die Datei habe ich bereits zu Anfangs erst mit einem weiteren Exchange 2016 verglichen und dann sogar ersetzt.

 

Ja, da will ich mich auch nicht rausreden, das ist mir auch ein Dorn im Auge, aber ich habe es tatsächlich nicht weiter geschafft,

da dran zu bleiben - das ist natürlich keine Entschuldigung!

Link to post
vor 1 Minute schrieb tesso:

Man kann eine VM auch temporär auf einem anderen Host/PC laufen lassen. 
 

Virenscan führt bei bei einem vermuteten Befall immer „von außen“ durch. Booten mit CD und dann testen. 

Richtig, aber leider wie bereits erwähnt, ist keine weitere Hardware in dieser Größenordnung verfügbar.

 

Ah, da hatte ich tatsächlich nicht mehr drangedacht, werde ich heute Abend testen und dann Feedback geben.

Danke Dir.

Link to post
vor einer Stunde schrieb Snowman_24:

Eine weitere VM bräuchte RAM, CPU-Kerne und weiteren Speicherplatz - gerade der Speicherplatz ist hier Ausschlusskriterium.

 

Du schreibst oben, dass es ca. 200GB in Summe sind. Das kann mein Notebook nebenbei handhaben. :/ Und wenn ich unsicher bin, was mein Server tut, dann warte ich nicht x Monate sondern hätte der GF schon lange den ein oder anderen Vorschlag vorgelegt. Und wenn das nur mit Downtime mangels Ressourcen gehen sollte, dann ist das eben so! 

  • Like 1
Link to post

Guten Abend,

 

also, Tests erfolgreich - keine Auffälligkeiten in Sachen Viren/Trojanern etc.
Ich habe die VM heruntergefahren, beide virtuellen Laufwerke komplett prüfen lassen und keinerlei Auffälligkeiten gefunden.
Danach wieder die VM hochgefahren, wieder Msert sowie das Script "eomt" laufen lassen -> nichts.
Dann jetzt auch noch das Script Test-ProxyLogon laufen lassen - das hatte ich vergessen zu erwähnen - dieses habe ich auch schon mehrmals laufen lassen - keinerlei Funde.

Also stehe ich wieder am Anfang.

 

Klar, es hätte natürlich durch einen Angriff sein können, welcher im März durch den "Exchange Hack" möglich gewesen sein könnte,

aber in diesem Fall gehe ich eher nicht davon aus, sonst hätte ich ja bisher irgendwann mal zumindest irgendwelche Anzeichen gefunden.

Diese Anzeichen gab es einfach nicht - daher habe ich mich auch "etwas sicherer" gefühlt - und die Sache, naja, sagen wir mal nicht mehr als Prio 1 angesehen.
Aber lassen wir das bitte mal dahin gestellt.

Gut, Ihr schreibt, den Exchange könnte ich jederzeit auf einem Laptop/PC installieren, klar das ist mir bewusst.
Aber:

a.) (nochmals) es ist derzeit keine Hardware verfügbar, wo ich diesen aufsetzen kann - kein Laptop/PC, welcher derzeit "frei" ist, welcher auch die nötige CPU/RAM/HDD bzw. SSD hat.

&

b.) ich gerne das Problem finden möchte, was da passiert und warum es passiert.

Bitte versteht mich hier nicht falsch - ich komme aus der "Generation" erst reparieren, wenn's dann trotzdem unmöglich wird, dann eben Neu.

 

Seid mir hier bitte nicht böse und greift mich daher bitte nicht an.

Mir ist schon bewusst, dass es einfach schon zu lange so geht.

 

Also zurück zum Thema:

Ich habe jetzt auch mal nebenbei alle Aufgaben in der Aufgabenplanung mit einem anderen EX2016 verglichen - identisch.
Dann noch einfach mal querbeet Dienste und Details / Anzahl & Menge mit einem anderen EX2016 verglichen - auch soweit identisch.

 

Die einzigen Unterschiede, welche es gibt - auf dem "Problem Server" läuft ja die Kaspersky Security für Microsoft Exchange-Server.
Auf dem Server ist kein zusätzlicher SQL-Server für KES installiert, hier wird eine  weitere Instanz auf einer anderen VM eines SQL_Servers genutzt.

Und es sind unterschiedliche Versionen.

Auf dem EX2016, welchen ich zum Vergleich genommen habe, liegt eine eigene SQL-Server-Instanz auf der VM selbst, wo auch der Exchange Server installiert ist.

 

Alles andere ist absolut identisch - Augenscheinlich.

 

Habt Ihr noch eine Idee?

Grüße und Danke

Marcus

 


 

Link to post

Guten Morgen,

 

kurze Rückmeldung - es lag tatsächlich am Kaspersky Security for Windows Servers.
Deinstalliert, bereinigt mit dem KLremover, dann neu installiert und der Fehler ist weg und die Datei "WinRing..." ist auch weg.

Danke Euch für Eure Unterstützung.

Grüße und schönes Wochenende

Marcus

  • Like 1
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...