Automatischer Reboot

[firefox80 10]

Hallo Leute!

 

Ich habe seit kurzem das Problem dass der 2003 Server recht häufig aber unregelmäßig neu bootet.

Einen Virus schließe ich aus, habe auch TrendMicro Housecall drüber laufen lassen.

 

Bin jetzt darauf gekommen, dass die Reboots nicht statt finden, wenn ich mit der Firewall sämtlichen Verkehr blockiere.

Die Logs haben ergeben, dass es nur 2 Typen von Blockierungen gibt:

- incoming: ntoskrnl.exe von 192.168.1.255 (udp ports 137 und 138) auf localhost

- incoming: wins.exe von 224.0.1.24(!!!) (udp port 42) auf localhost

 

ein nslookup hat ergeben das 224.0.1.24 microsoft-ds.mcast.net ist

 

alle anderen rechner im netz sind aus.

internet zugang über router; von dort werden allerdings nur die ports 80,20,21,25 weitergeleitet.

 

Ihr seht mich daher etwas verwirrt!

 

aber von euch kann mir das sicher jemand erklären!

danke

[firefox80 10]

In der Ereignisanzeige steht dass lsass.exe unerwartet beendet wurde und winlogon deshalb den rechner neu startet.

 

auch das blockieren von wins.exe auf der firewall hilft nicht weiter, der rechner startet trotzdem neu

[michaelk1962 11]

hi,

 

Automatischer Neustart kannst du so unterbinden:

 

Arbeitsplatz -->rechte Maustaste-->Eigenschaften-->Starten und Wiederherstellen-->Systemfehler

 

hier den entsprechenden Schalter entfernen.

 

mfg

 

windoof1

[edv-olaf 10]

Moin,

 

was steht denn so im inneren Netz rum? Wenn wirklich Netzwerktraffic lsass zum Absturz bringt, könnte es auch ein interner Angriff sein.

 

Mal nachgegoogelt, welche Netz-Attacken den lsass abstürzen lassen?

Andererseits meine ich mich erinnern zu können, dass auch einige Würmer dieses Phänomen vor einiger Zeit verursacht haben. Ich würde daher mit einer bootfähigen Notfall-CD mit Virenscanner mal den Server starten. Denn ist der Wurm/Virus gut programmiert (Rootkit), so kannst du unter 2003 nichts mehr finden, auch nicht mit Housecall!

 

Steht denn eigentlich was im Ereignis-Log?

 

Grüße

Olaf

[Flare 12]

Ich schatze mal das dein Server nicht sicher ist und durch ein pufferüberlauf dein lsass sich verabschiedet in folgedessen wird er neugestaretet,

 

deshalb läuft auch alles rund wenn deine fw an ist..

 

Flare

[Arktos73 10]

vielleicht solltest du das Problemchen ..mal von hinten aufrollen ..d.h.

 

erst wenn du sicher sein kannst , das es KEIN interner Angreifer ist ...schau dir dein Server an ob der wirklich sicher ist ... überprüfe alle eventualitäten ..

denn meistens ist man bei einem internen Angriff am wenigsten geschützt ... denn damit rechnet man ja auch am wenigsten ...

[lefg 276]

Bin jetzt darauf gekommen, dass die Reboots nicht statt finden, wenn ich mit der Firewall sämtlichen Verkehr blockiere.

Hallo,

 

auf dem ersten Blick ist anzunehmen, es handele sich um einen Angriff.

 

Ich würde aber trotzdem mal nach der HW schauen! Wurde schon ein Test des Speichers durchgeführt?

 

Viel Erfolg

 

Edgar

[Das Urmel 10]

In der Ereignisanzeige steht dass lsass.exe unerwartet beendet wurde und winlogon deshalb den rechner neu startet.

 

Das sagt dir nix

Der Server ist gepatched?

lsass =Sasser und Abarten

Imho TCP 135

 

@lefg

Das die HW schuld sein soll glaube ich eher nicht, auch Memory kommt nicht in Betracht.

[=BT=Viper 11]

Jo, da ist bestimmt ne Seuche am Werk! :(

[firefox80 10]

So jetzt mal ein Zwischenstand:

- Interne Angriffe kann ich ausschließen, da das eine Testumgebung ist und der server ist der einzige rechner im netz.

- Sasser und konsorten schließe ich auch aus; habe diverse antivirensoftlaufen lassen (auch stinger) und auch das ms malware programm

- Eintrag im Systemprotokoll: Der prozess winlogon.exe hat den neustart von computer server für benutzer aus folgendem grund : Es wurde kein titel für den grund gefunden. Begründungscode 0x50006 Herunterfahrungstyp: Neustart Kommentar: der Systemprozess "lsass.exe" wurde unerwartet mit dem Statuscode -1073741819 beendet. Das system wird heruntergefahren und neu gestartet.

[edv-olaf 10]

Auch mal ein Zwischenbericht ;)

In einem anderen Thread berichtet ein Kollege von einem identischen Fall. Da ist es allerdings ein 2003 SBS und der wurde mit SP1 gepatcht. Wie sieht es bei dir aus? Ähnliche Konstellation?

 

Grüße

Olaf

[lefg 276]

In der Ereignisanzeige steht dass lsass.exe unerwartet beendet wurde und winlogon deshalb den rechner neu startet.

@Das Urmel

 

Das obrige habe ich übersehen, sonst hätte ich nicht zur Überpüfung des Speichers geraten. Bei einem Speicherfehler stürzt die Kiste ins Back Hole und das OS hat keine Gelegenheit mehr zum Loggen.

 

Gruß

 

Edgar

[Das Urmel 10]

Hi Edgar - klar - deswegen wies ich nochmal drauf hin ;)

Ich würde an der FW den Port dichtmachen, die letztliche Fehlermeldung

deutet doch arg auf Schadwareangriff hin.

Wer sagt euch denn, das die Exploits nicht weiterentwickelt worden sind?

 

Also Port in der FW von aussen dicht machen, sowohl 445 als auch 135 und abwarten ob es wieder passiert.

[firefox80 10]

Danke an alle - Problem behoben!

das SP1 konnte das Problem beheben, zusätzlich noch alle darauffolgenden hotfixes

seit dem ist alles bestens

 

denke es war ein exploit im iis, da ja nach aussen nur die ports 80 und 21 offen waren