Электростальский форум
Hi-Tech => Компьютеры, периферия, мультимедиа и ПО => Тема начата: Faust от 12.03.10, 08:56:33
-
С недавних пор, придя по утру на работу, контроллер домена (он же днс) отказывается пинговаться (как следствие - рдп нет, днс нет, вообще ничего нет=) ). В логах пусто (за исключением событий, которые ругаются на нехватку ресурсов). При подключении к нему монитора - висит экран ввода логина/пароля, на нажатия кнопок клавиатуры долго не реагирует, после чего выводится окно о нехватке ресурсов - дальше дело не идет. Помогает лишь ребут.
Как-то раз, в один из таких моментов (пинг перестал ходить, днс не откликался), я был подключен через радмин и умудрился посмотреть диспетчер процессов - процесс lsass.exe отхавал весь проц.
http://ru.wikipedia.org/wiki/Lsass.exe
Порыл яндекс, погуглил, ссылаются на вирус и никаких других подсказок=(
Win 2k3 sp2. Последние обновления установлены.
Тестил др вебом, макафей, авз, антималваре, всякими прочими штуками - пусто, вирей не находит. Никаких подозрительных файликов в док и сеттингс нет, систем32 тоже пролистал - все ОК....
Помогите люди добрые, что ж за беда такая =(
-
Тестил как, подключая винт к другой машине или прямо на эту все устанавливал?
-
Тестил как, подключая винт к другой машине или прямо на эту все устанавливал?
К этой
Рейд там =(
-
К этой
Рейд там =(
Ну тогда хотя бы другой винт к ней с ДРУГОЙ системой, ну или Лайв СД наконец. Тогда можно говорить о какой либо уверенности, что вирусов нет.
-
Рейд там =(
и что же вам мешает подключить рейд к другомашине ?
-
и что же вам мешает подключить рейд к другомашине ?
Рейд встроен в МП О.оНу тогда хотя бы другой винт к ней с ДРУГОЙ системой, ну или Лайв СД наконец. Тогда можно говорить о какой либо уверенности, что вирусов нет.
=(
-
А посмотреть какие службы используют lsass.exe? Поотрубать их очередно...
И родной ли этот lsass.exe вообще? и на месте ли родном он находится?
-
А посмотреть какие службы используют lsass.exe? Поотрубать их очередно...
И родной ли этот lsass.exe вообще? и на месте ли родном он находится?
С ним все в порядке...
Диспетчер учетных записей безопасности
Служба зависит от:
Удаленного выхова процедур RPC
А от неё зависит:
DHCP
Кооридантор распределенных транзакций ( :ai: ы )
распределенная файловая система DFS
Служба IntersiteMessaging
-
http://manual.mit.ru/index.php?option=com_content&task=view&id=52&Itemid=89 (http://manual.mit.ru/index.php?option=com_content&task=view&id=52&Itemid=89)
-
http://manual.mit.ru/index.php?option=com_content&task=view&id=52&Itemid=89 (http://manual.mit.ru/index.php?option=com_content&task=view&id=52&Itemid=89)
Тут: Win 2k3 sp2 сассера быть не может по ряду очевидных причин.
-
Kasen, а твой вариант?
-
Рейд встроен в МП О.о=(
Нисколько не сомневался в этом.
Так в чём же Ваша проблема ?
Конроллер всосал диски вовнутрь ? Он угрожает Вам расправой, если Вы посмеете отсоединить его диски ?
Настривайте на другой машине контроллер в raid mode и подсоединяйте диски. Рейд подхватится. Если, конечно, производитель контроллера тотже.
-
Kasen, а твой вариант?
Мой вариант подумать :)
1. Проверить контрольные суммы вашего lssas.exe и девственно чистого из того же дистрибутива, при условии что обновления касаемые этой службы не накатывались.
2. Посмотреть какие файлы всасывает служба, и хорошо бы понять какой начала всасывать в момент краха.
3. Посмотреть что там с правами файла.
4. Еще как вариант процедурой восстановления пройтись.
-
Мой вариант подумать :)
1. Проверить контрольные суммы вашего lssas.exe и девственно чистого из того же дистрибутива, при условии что обновления касаемые этой службы не накатывались.
2. Посмотреть какие файлы всасывает служба, и хорошо бы понять какой начала всасывать в момент краха.
3. Посмотреть что там с правами файла.
4. Еще как вариант процедурой восстановления пройтись.
Может сначала банально на вирусы проверить?
-
А че никто не сказал что lsass'ов может быть много, а должен быть один в папке Windows\System32?
-
Может сначала банально на вирусы проверить?
Так а разве не сделано еще? О_О Я полагал что это само собой разумеющееся, правда косяг что вирусы на серванте живут.
-
А че никто не сказал что lsass'ов может быть много, а должен быть один в папке Windows\System32?
По ссылке Паники об этом сказано.
-
Нисколько не сомневался в этом.
Так в чём же Ваша проблема ?
Конроллер всосал диски вовнутрь ? Он угрожает Вам расправой, если Вы посмеете отсоединить его диски ?
Настривайте на другой машине контроллер в raid mode и подсоединяйте диски. Рейд подхватится. Если, конечно, производитель контроллера тотже.
1. Нет у меня второго контроллера=)
2. Нет у меня второго контроллера схожей фирмы=)
Мой вариант подумать :)
1. Проверить контрольные суммы вашего lssas.exe и девственно чистого из того же дистрибутива, при условии что обновления касаемые этой службы не накатывались.
2. Посмотреть какие файлы всасывает служба, и хорошо бы понять какой начала всасывать в момент краха.
3. Посмотреть что там с правами файла.
4. Еще как вариант процедурой восстановления пройтись.
1. Проверю...
2. Как? =) Время подвисания не определенное. Может 3 раза за неделю, а может как сейчас - через 2 недели. И никаких зависимостей проследить не могу (((
3. С правами все ок - наследуются с корня
4. Ммм...контроллер домена без резервного =(
Чертова лицензия)))
-
Если вы таки сумели просочиться на сервер через radmin, то есть программа ms filemon она показывает в реальном времени какие файлы используются... логи сохраняются, и в дальнейшем анализировать.... правда машинку грузить будет... ^_^
-
С недавних пор, придя по утру на работу, контроллер домена (он же днс) отказывается пинговаться (как следствие - рдп нет, днс нет, вообще ничего нет=) ). В логах пусто (за исключением событий, которые ругаются на нехватку ресурсов). При подключении к нему монитора - висит экран ввода логина/пароля, на нажатия кнопок клавиатуры долго не реагирует, после чего выводится окно о нехватке ресурсов - дальше дело не идет. Помогает лишь ребут.
Как-то раз, в один из таких моментов (пинг перестал ходить, днс не откликался), я был подключен через радмин и умудрился посмотреть диспетчер процессов - процесс lsass.exe отхавал весь проц.
http://ru.wikipedia.org/wiki/Lsass.exe
Порыл яндекс, погуглил, ссылаются на вирус и никаких других подсказок=(
Win 2k3 sp2. Последние обновления установлены.
Тестил др вебом, макафей, авз, антималваре, всякими прочими штуками - пусто, вирей не находит. Никаких подозрительных файликов в док и сеттингс нет, систем32 тоже пролистал - все ОК....
Помогите люди добрые, что ж за беда такая =(
а что мешает запустить совтинку от мелкомягких - процесс эксплоер и в таблице наведя на данный процес поглядеть что в данный момент он делает - при наведении выводится подробная статистика какие процессы дочернии, какие службы и так далее
или воспользоваться софтинкой хаккерэксплоер, там еще и нагрузку на хард показывает и что именно делает(какие файлы тягает)
http://sourceforge.net/projects/processhacker/
-
Товарищи, все жесть ситуации в том, что процесс начинает жрать проц в любое время, это может быть когда угодно. И когда оно жрет - все висит, даже залогиниться не получится никак. Даже локально.
По этой же причине не помогут и процессэксплореры..=(
Я думал, что есть какая-то заплатка от мелкомягких или ещё какая другая причина...
техподдержка supermicro вообще отдыхает %)
-
Я думал, что есть какая-то заплатка от мелкомягких или ещё какая другая причина...
техподдержка supermicro вообще отдыхает %)
Ты на вирусы нормально проверил? Ведь выходные были....
-
Ты на вирусы нормально проверил? Ведь выходные были....
Все чисто
-
Все чисто
Чем и как проверял?
-
Товарищи, все жесть ситуации в том, что процесс начинает жрать проц в любое время, это может быть когда угодно. И когда оно жрет - все висит, даже залогиниться не получится никак. Даже локально.
По этой же причине не помогут и процессэксплореры..=(
Я думал, что есть какая-то заплатка от мелкомягких или ещё какая другая причина...
техподдержка supermicro вообще отдыхает %)
Мда...
В гугле вас правда забанили?
http://support.microsoft.com/kb/939268/en-us
Это то, что есть после двух секунд поиска.
Если потратить целых полторы минуты - вариантов будет еще больше.
-
А ты деньги в следующий раз бери за уроки по пользованию поисковиками.
-
Мда...
В гугле вас правда забанили?
http://support.microsoft.com/kb/939268/en-us
Это то, что есть после двух секунд поиска.
Если потратить целых полторы минуты - вариантов будет еще больше.
Спасибо за ссылку, на такие фиксы не натыкался. Поставил, время покажет...
Тему прикрою пока, дабы не было флуда.
-
Проблема не исчезла...к lsass.exe добавился и svchost.exe
Симптомы все те же - нет отклика, к терминалу не подключится и т.д. и т.п.
FileMon ничего сверхъестественного не показал, то explorer шелл опрашивает, то макафи тестит системную папку, то ещё что-то.
-
Проблема не исчезла...к lsass.exe добавился и svchost.exe
Симптомы все те же - нет отклика, к терминалу не подключится
Это сассер... Надо лечить через AVZ, перехватывать системные процессы, грохать эти процессы, смотреть какими файлами они запущены, и эти файлы грохать.
Файловый антивирус ничего не сдалает. Он даже не найдет проблем
-
Кстати, гляно на службы "Рабочая станция" и "Сервер", практически уверен что они стоят в "авто" запуске, но не запущены. Поэтому не работает терминал, локалка, зато интернет есть.
-
Кстати, гляно на службы "Рабочая станция" и "Сервер", практически уверен что они стоят в "авто" запуске, но не запущены. Поэтому не работает терминал, локалка, зато интернет есть.
Работают.
Это не сассер.
1. Установлены все заплатки.
2. В автозапуске пусто
3. Средства нахождения гадостей от Symantec и Касперского ничего не выявили
-
Работают.
Это не сассер.
1. Установлены все заплатки.
2. В автозапуске пусто
3. Средства нахождения гадостей от Symantec и Касперского ничего не выявили
Он мутирует... Заплатки не спасают... У нас подобная беда на рабочих станциях творилась. Ни симантек и кашпировский его не найдут. Как и говорил - первое действие: заусти AVZ, пошерсти процессы.
-
И в явном виде в автостарте его не будет, он просто запускается через библиотеку.
-
avz
Процессы - чисто
Автозагрузка - чисто
Сканирую в полном фарше
-
Он мутирует...
Что делает? :)) Сассер теперь черепашка нинзя?
А по делу, а разве вин2003р2сп2 вообще когда либо был подвержен сассеру, с учетом того, что этот вирус эксплуатирует всего лишь ОДНУ уязвимость?
-
avz
Процессы - чисто
Автозагрузка - чисто
Сканирую в полном фарше
Резалт 0
-
во, кстати... а там SQL нету случайно?
-
во, кстати... а там SQL нету случайно?
Неа
Кстати, вот ещё
lsass.exe
MD5: 435f4dec4b7b03c920b143bba73b5860
Со второго сервака - аналогичен.
Прикреплю ещё лог RootkitRevealer
-
Резалт 0
Интересное кино...
-
Что делает? :)) Сассер теперь черепашка нинзя?
Подъ.б навреное? По делу-то есть чего? Или так, пернуть решил? Поменьше читай кульхацкера. Посерьезнее изучи чего-нибудь
Net-Worm.Win32.Sasser.a
Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011. Патч,...
Net-Worm.Win32.Sasser.b
Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011. Патч,...
Net-Worm.Win32.Sasser.f
[ в описаниях объектов ]
Trojan-Dropper.DOS.Expiro.h
[ в описаниях объектов ]
Net-Worm.Win32.Sasser.as
[ в описаниях объектов ]
Net-Worm.Win32.Sasser.c
[ в описаниях объектов ]
Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011. Патч,...
Net-Worm.Win32.Sasser.g
Продолжать?
-
Кстати, вот ссылка с бюллетеня Microsoft Security Bulletin MS04-011 не работает, page not found говорит =/
-
Фауст, а вот такое у тебя есть - avserve2.exe ?
UPD, или вот такое - skynetave.exe
UPD Ваще поищи по маске avserve*.*
-
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Вроде открывает
-
Фауст, а вот такое у тебя есть - avserve2.exe ?
UPD, или вот такое - skynetave.exe
UPD Ваще поищи по маске avserve*.*
Поиск не дал результатовhttp://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Вроде открывает
Вчера 404 показывал...хых...
-
Ну я думаю это ты сделал?:
Очистить все темпы
Кстати, попробуй этим пройдись - KAV6 filestation. Маловерятно что найдет после всех этих твоих монстров, но тем не менее.
А вот ещё был прикол, у нас один из серваком постоянно падал, причем очень интресно - рубился юзергейт, в промежутке с 13-14 часов... Определеилась проблема в том, что в кэшах сидела бяка. Нашли с помошью КАВа, стоял TrendMicro
-
Темпы, локалы сеттингсы, прошерстил систем32 на предмет подозрительных ехе...чисто((
Попробую..
-
Microsoft Security Bulletin MS04-011.
Модификации и мутации разные вещи совершенно, это раз.
Во вторых не стоит переходить на личности, я много чего изучил и посерьезнее развлекательного журнала.
А в третьих, можете продолжать бесконечно, от этого сассер не станет использовать уязвимости не описанные в указанном вами же бюллетене.
-
Модификации и мутации разные вещи совершенно, это раз.
С этим согласен, неверно применил понятие.
По поводу бюллетеня - http://www.google.ru/search?client=safari&rls=en&q=sasser+MS04-011&ie=UTF-8&oe=UTF-8&redir_esc=&ei=9fC9S8C8KNqkOOqAyewJ Так, быстренько
Так по делу то что?
-
По поводу бюллетеня - http://www.google.ru/search?client=safari&rls=en&q=sasser+MS04-011&ie=UTF-8&oe=UTF-8&redir_esc=&ei=9fC9S8C8KNqkOOqAyewJ Так, быстренько
Так по делу то что?
По делу -учитесь читать. Этой уязвимости винда не подвержена уже лет пять как. DIXI.
Faust, а дальше читать не пробовали? Я ведь не зря сказал, что приведенный мной фикс - то, что находится за две секунды, дальше - вариантов больше .
На худой конец(если лень задумываться) - переставить систему нафиг. Делов-то на час от силы.
-
По делу -учитесь читать. Этой уязвимости винда не подвержена уже лет пять как. DIXI.
На худой конец(если лень задумываться) - переставить систему нафиг. Делов-то на час от силы.
Урапраздник.
Уязвимости лет 7, тока тачки с этой болячкой начали таскаять в декабре того года. По десятку в неделю.
ЗЫЖ Речь идет о контролере домена, а не о домашней хрюшке.
-
По делу -учитесь читать. Этой уязвимости винда не подвержена уже лет пять как. DIXI.
Faust, а дальше читать не пробовали? Я ведь не зря сказал, что приведенный мной фикс - то, что находится за две секунды, дальше - вариантов больше .
На худой конец(если лень задумываться) - переставить систему нафиг. Делов-то на час от силы.
Я, конечно, благодарен за найденный Вами фикс, но он не помог так же, как и десятки других способов, которые я перепробовал. Если ещё что-то найдете, я буду рад и благодарен за это.
Переустановки системы, как сказал Dee_Wasted - не приемлема. Иначе я бы и не заморачивался и переставил бы.
-
Урапраздник.
Уязвимости лет 7, тока тачки с этой болячкой начали таскаять в декабре того года. По десятку в неделю.
ЗЫЖ Речь идет о контролере домена, а не о домашней хрюшке.
Угу. Читать по английски не умеем. Сочувствую.
Перевожу на русский . ВСЕ винды - этой уязвимости не подвержены. Разумеется, кроме тех, кто не запускал обновления уже лет пять как.
Я, конечно, благодарен за найденный Вами фикс, но он не помог так же, как и десятки других способов, которые я перепробовал. Если ещё что-то найдете, я буду рад и благодарен за это.
Переустановки системы, как сказал Dee_Wasted - не приемлема. Иначе я бы и не заморачивался и переставил бы.
Могу помочь. Стандартная ставка 200 евро в час. Гуглить за вас(учитывая , что вы так и не выложили нормальной диагностики по проблеме) - у меня желания нет.
Переустановка контроллера домена - 1 час. Ну два часа, максимум, в зависимости от железа. У вас реально нет возможности это сделать? Могу помочь. Даже с дисконтом.
PS Причем, совершенно не факт, что переустановка поможет. На 95% дело в кривой конфигурации инфраструктуры. Зато сразу отбросит(ну или не отбросит) все бредовые версии про сассеры, прочие вирусы и поврежденные библиотеки.
-
Кто не любит переустанавливать винды, тот ставит Акронис Тру Имидж и получает от этого полное моральное и физическое удовлетворение, а не сношается в извращенной форме с больной системой целый месяц. ИМХО
-
Гуглить за вас(учитывая , что вы так и не выложили нормальной диагностики по проблеме) - у меня желания нет.
Ну и иди вон тогда...
Конкретно тебя никто не звал..
-
Ну и иди вон тогда...
Конкретно тебя никто не звал..
неграмотный эникейщик? Тыкнули в это носом и оно обиделось? Бывает...
Faust,
Начните вот с этого. По крайней мере, даст почву для размышлений.
http://blogs.technet.com/askds/archive/2007/08/20/troubleshooting-high-lsass-cpu-utilization-on-a-domain-controller-part-1-of-2.aspx (http://blogs.technet.com/askds/archive/2007/08/20/troubleshooting-high-lsass-cpu-utilization-on-a-domain-controller-part-1-of-2.aspx)
PS Если хотите действительно получить помощь - выложите нормальную информацию о конфигурации системы, и о тех шагах, которые вы уже проделали.
-
неграмотный эникейщик? Тыкнули в это носом и оно обиделось? Бывает...
Успокойтесь уже, гражданин.
-
Захлебнулся в крутости и офиегнности Матиза... Если нет желания помочь - я не настаиваю. Не надо засорять тему.
Какие нужны данные, что я не дал? Вместо того, чтобы блистать своей афигенностью - просто написал бы что именно интересует, я бы ответил. Если нет - прошу не писать, дабы срачь не разводить
Кто не любит переустанавливать винды, тот ставит Акронис Тру Имидж и получает от этого полное моральное и физическое удовлетворение, а не сношается в извращенной форме с больной системой целый месяц. ИМХО
Не оплатят покупку Акрониса, это не дом, чтобы кряками пользоваться.
Домен-дочерний, резервного нет. Переустановка - гемор.
По поводу кривой конфигурации - вот уже как 2 года все пашет и не сбоит, и вдруг вылез кривой конфиг - уже смешно.
-
Какие нужны данные, что я не дал?
Ну, кстати, статейка зачотная.
-
Захлебнулся в крутости и офиегнности Матиза... Если нет желания помочь - я не настаиваю. Не надо засорять тему.
Какие нужны данные, что я не дал? Вместо того, чтобы блистать своей афигенностью - просто написал бы что именно интересует, я бы ответил. Если нет - прошу не писать, дабы срачь не
А вы не захлебывайтесь, а попробуйте прочитать что вам пишут. Знаете в чем главная беда российских "админов" ? В желании максимально усложнить себе жизнь, распутывая несуществующие проблемы. Посмотрите сами. У вас проблема с lsass.exe . Уже не первый месяц, на контроллере домена, приводящая(скорее всего) к серьезным последствиям. И что же делаете вы? Сканируете в тыщапятый раз всякими непонятными антивирусами, проверяете подозрительные папки и тд. Причем уже всем понятно, что дело не в этом, но вы упорно проверяете и проверяте сервер. ЗАЧЕМ???
И это при том, что полно статей именно по высокой утилизации именно lsas.exe и именно на контроллере домена. На технете есть вполне себе большой мануал по распутыванию именно этих проблем, еще одну статью я привел, еще множество документации находится на просторах интернета.
Не правильнее ли сосредоточиться на них?
Какие нужны данные, что я не дал? Вместо того, чтобы блистать своей афигенностью - просто написал бы что именно интересует, я бы ответил.
Интересует тупо конфигурация. Здесь не так много ясновидящих, которые могут предвидеть ВСЕ возможные проблемы во ВСЕХ возможных конфигурациях. Почему из вас информацию нужно клещами вытягивать? Почему мы ВДРУГ узнаем, что DC - единственный(а это значит, что PDC Emulator именно на нем, то есть уже есть полет для фантазии), почему ВДРУГ узнается, что сам домен дочерний(а это уже позволяет задать вопросы по организации и количеству трастов, ибо есть лимиты на такие вещи) и тд. Почему нет tcp дампа, снятого перед падением? Вы пишите, что есть еще svchost.exe - какой именно, какая именно задача валит систему? Почему нет описания установленного на сервере ПО(помимо винды и макафи) ? Что говорят виндовые логи(достаточно интересен был бы лог аудита аутентификации, например)? Ну и тд. Вы уж не обижайтесь, но в случаях подобных вашему - НУЖНО приводить максимально подробное описание того, что есть сейчас. Иначе шансов получить действительно адекватный ответ у вас почти отсутствуют. Другое дело, что лично я бы изначально на technet писал. А уж если сервер продуктивный - в MS Support, люди там адекватные сидят и за это деньги получают.
По поводу кривой конфигурации - вот уже как 2 года все пашет и не сбоит, и вдруг вылез кривой конфиг - уже смешно.
Угу . Особенно вот это вот доставляет. Домен-дочерний, резервного нет.
Что касается конфигурации. Есть, например, такая история.. Там дело было в не совсем корректной конфигурации стороннего от DC веб сервера, который тупо уходил в луп аутентификации и гасил этим контроллер домена. И почему то я подозреваю, что там у них тоже "пахало и не сбоило" , а потом ВДРУГ начались проблемы.
По Переустановка - гемор.
Еще один раз. КАКИЕ конкретно проблемы вас смущают? Винда, а потом восстановление из бэкапа - это совсем фантастически сложная вещь? И она отнимет времени больше, чем одно полное сканирование антивирусом? А что вы будете делать, если у вас (тьфу-тьфу) навернется железо вашего DC ? Скажете, что "восстановление - гемор" и переведете всех в одноранговую сеть?
-
Матиз, ну вот с этого и надо было начинать...
Четко расписал. Я тоже для себя сделал выводы. Просто зачем сразу бросаться-то?
-
<поскипано>
Не один я заметил разницу между этим постом и всеми предыдущими.
Обратите внимание, что я тестил/патчи ставил именно из-за советов в этой теме. Помимо всего прочего были и другие попытки установить причину. И проблемы с большим файлом в профиле и с переносимыми профилями и т.д. и т.п. Посему УПОРНО я не страдаю фигней, а пользуюсь любыми подсказками.
Сам же отметил, что проблема с lsass бывают разнообразные, посему выкладывать все подряд - просто не рационально.
Сейчас избавились от проблемы (возможной) с рекурсией - может оно всему виной.
Спасибо за дискуссию.
В понедельник продолжим