Forum

2012 server system ...
 
Bildirimler
Hepsini Temizle

2012 server system process Network Problemi

5 Yazılar
3 Üyeler
0 Likes
848 Görüntüleme
(@feritkayali)
Gönderiler: 5
Active Member
Konu başlatıcı
 

Merhaba,

Windows 2012 Server üzerinde SQL server ve Logo tiger ticari uygulamaları yüklü durumda ve uygulamalara paylaşılan klasör üzerinden erişilerek Exe dosyaları client üzerinde çalıştırılıyor. Sunucuda düzenli olarak Her saat başında system process (pid 4) birden yüksek network trafiği oluşturmaya başlıyor, bu 3-4 dakika kadar sürüyor,  takip ettiğimizde 445 portundan bir trafik oluştuğunu ve sunucudan transmit rate'in 1000mbps kadar çıktığını ve ağdaki windows clientlara yoğun bir gönderim olduğunu görüyoruz, bu esnada client bağlantıları yavaşlıyor veya programlar kopuyor. Sunucuda Trend Micro Client yüklü, zamanlanmış görevlerde herhangi bir şey yok.

Sunucudaki bu işlemin sebebi ne olabilir, teşekkürler.

taskman
Bu konu 4 yıl önce Ferit KAYALI tarafından düzenlendi
 
Gönderildi : 26/08/2020 10:18

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 32961
Illustrious Member Yönetici
 

Merhaba,

 

445 CIFS yani dosya paylaşımı bir yedekleme işi çalışıyor olabilir mi? İstemcilerin yedekleri alınıyor olabilir mi? Ya da zamanlanmış tarama yapılıyor olabilir mi?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 26/08/2020 10:40

(@hasanemreeroglu)
Gönderiler: 53
Trusted Member
 

Merhaba  , 

Sunucu üzerinde bahsi geçen uygulamarın yanı sıra hangi roller yüklü olduğunu , paylaşırmısınız ? 

Network trafiği sırasında SMB paylaşımına erişimde bir sorun olup , olmadığını gözlemlediniz mi ? Bu sunucu üzerinde paylaşıma açık bir yazıcı mevcut mu ?

Trend Micro Administrator Console ,  445 Portunu uzaktan Yükleme aracılığıyla yüklerken ve istemciler, karantinaya alınan dosyaları sunucuya gönderirken kullanılır. Zamanlanmış görev yok demişsiniz ama Policy değişikliği veya istemcilerinize bir güncelleme yapıyor musunuz ? 

Küçük bir organizasyon sahipseniz CMD satırında netstat -p tcp yapıp 445 portu kullanan cihazları görüp cihazları kapatıp trafiği tekrardan izleyebilirsiniz.

Son olarak sunucunuz güncel mi ? Saldırı ihtimaline karşı , güvenlik duvarınızda 445 nolu port açık ve bu sunucuya yönlendirilmiş durumda mı ?

 
Gönderildi : 26/08/2020 10:50

(@feritkayali)
Gönderiler: 5
Active Member
Konu başlatıcı
 

Merhaba,

Sunucu geçici olarak domain'e üye değil, 30 kadar client Guest olarak paylaşılan klasörden uygulama Exe'sini çalıştırıyor, Dosya Sunucusu ve IIS dışında başka bir Role yüklü değil, Sunucuda sadece SQL Server + ticari uygulamalar ve Acronis Cyber Backup ve Backup Console Yüklü (yedeklemeler durdurularak denendi)

istemci yedeklemesi gibi bir kurgu yok , Client/sunucu tarafında zamanlanmış tarama yok.

 

Sunucu Güncel, Dışarıdan port açık değil, SMBserver Loglarında özellikle sorun olduğu saatte kimlik doğrulama hatası görüyoruz ama bu hatayı üreten cihazı geçici kapattığımızda da sorun devam ediyor.

 

İlginç olan sadece bu bilgisayardan uygulama çalıştıranlara değil , Bu sunucuya hiç erişmeyen ama ağda açık durumda olan bilgisayarlara da bir trafik oluşuyor,  ekran alıntısında görünen workstation3 teknik çizim yapan bir bilgisayar ve bu sunucu ile bir bağlantısı bulunmuyor.

taskmon11
taskmon33
smblog

 

 
Gönderildi : 26/08/2020 11:20

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 32961
Illustrious Member Yönetici
 

Bunun gibi bir program ile 14 günlük deneme sürecinde en azından bir bakın bakalım neler oluyor dosya bazında

https://www.cozumpark.com/lepide-ile-file-server-audit/

Ya da wireshark kurmanız lazım ancak sunucu da maşallah yok yok öyle bir yazmışsınız ki sadece bu bu bu var diye 🙂 örnek normalde sadece tek role olur sizde zaten pek çok role ve sorumluluk var hangisinden kaynaklı bulmak için en temel yöntem 

https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

gibi bir araç ile network trafiğini yapan exe yi bulmak. Ya da sırasıyla ilgili servisleri kapatıp izlemek. Yani uğraşmak gerekli.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 26/08/2020 11:28

Paylaş: