Anasayfa » Forum

Windows 2003 server...
 

Windows 2003 server da winlogon ve csrss işlemciyi yoruyor..  

Sayfa 1 / 2
  RSS
Adem ARSLAN
(@AdemARSLAN)
Üye

Merhaba Arkadaşlar..

Remote desktop ile windows 2003 server a bağlandığımda herşey yolunda giderken task managerda session bölümünde girişlerin birden 300-400 birden arttığını gördüm. Baktım virüs yok, atak yok. Kontrol ettiğimde böyle olduğu zaman sunucuda winlogon.exe ve csrss.exe kendi kendine çoğalıp çoğalıp kayboluyor.. Bu durumda işlemciyi de yoruyor. Event viewer kontrol ettiğimde dikkatimi çeken alt alta bir sürü olan şu ileti oldu.

EVENT ID : 515

A trusted logon process has registered with the Local Security Authority. This logon process will be trusted to submit logon requests.  

 Logon Process Name: Winlogon\MSGina

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp. 

 

Sizce ne yapmalıyım..

Teşekkürler..

Adem ARSLAN 

Alıntı
Gönderildi : 10/07/2011 4:21 pm
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Merhaba

Bu anormal bir durum değil

http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=515

Virüs yok diyorsunuz, bu istemci tarafında mı yok terminal server mı ? istemci tarafınıda kontrol etmelisiniz.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 12/07/2011 1:39 am
Adem ARSLAN
(@AdemARSLAN)
Üye

Merhaba;

Cevabınız için teşekkürler..

Fakat bu yeni olmaya başladı serverda.. Bu ileti event viewer da altalta onlar olmaya başlıyor. Bu durumda winlogon.exe 3-4 adete kadar çıkıp tekrar normale dönüyor. Csrss.exe de öyle.. Bu bir müddet devam ediyor. İşlemci %40-50 lerde geziyor. Sonra herşey normale dönüyor. Bu süre zarfında task manager da users bölümünde session sayısı 3-4 binlere fırlıyor.. Acaba diyorum atak mı oluyor?  

 

Saygılarımla;

Adem ARSLAN 

CevapAlıntı
Gönderildi : 12/07/2011 2:42 am
Adem ARSLAN
(@AdemARSLAN)
Üye

bu arada bu sorunu remote desktop ile bağlanarak görüyorum.. Sunucunun yanında değilim

CevapAlıntı
Gönderildi : 12/07/2011 2:46 am
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

User bölümünde hangi userların logon olduğunu görebilirsiniz sunucuya, peki 3000 kişi kim ? yani kullanıcı isimlerini göremiyormusunuz ?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 12/07/2011 12:00 pm
Adem ARSLAN
(@AdemARSLAN)
Üye

İşte işin ilginç yanı bu.. Bakıyorum sadece ben varım. Başka bir kullanıcı yok. Ama RDP-TCP yanındaki sayaç kendiliğinden artmış oluyor. Aklıma atak ve donanımsal bir sorun dışında birşey gelmiyor. Sizce nedir?

 

Saygılarımla;

Adem ARSLAN 

CevapAlıntı
Gönderildi : 12/07/2011 12:41 pm
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Kaç kullanıcı bu sistemi kullanıyor ?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 12/07/2011 1:02 pm
Adem ARSLAN
(@AdemARSLAN)
Üye

remote desktop ile bağlanan sadece benim.. Tek yetki bende.. Sistem üzerinde mail ve web host var sadece. Onların sayısı da 100 civarı. Ama dediğim gibi admin, remote desktop sadece benim yetkimde..

 

Saygılarımla,

ADEM ARSLAN 

CevapAlıntı
Gönderildi : 12/07/2011 1:04 pm
ALİ PARLATICI
(@ALiPARLATICI)
Üye

tahminimce bir virüs var ve bu virüs aktif oluyor ve anti virüs programınız siliyor. sürekli bu işlem gerçekleşiyor diye düşünüyorum. lanet olası bir autorun virüsü olabilir 

CevapAlıntı
Gönderildi : 12/07/2011 1:07 pm
Adem ARSLAN
(@AdemARSLAN)
Üye

Virüs olduğunu zannetmiyorum. Çünkü sistemi tarattım. 

CevapAlıntı
Gönderildi : 12/07/2011 1:27 pm
ALİ PARLATICI
(@ALiPARLATICI)
Üye

serverda olmaya bilir ama terminallerin birisinden geliyo ağdan büyük ihtimalle bağlı olan bilgisayarların ağ bağlantılarını keserek gözlemledinizmi acaba.?

CevapAlıntı
Gönderildi : 12/07/2011 1:31 pm
Adem ARSLAN
(@AdemARSLAN)
Üye

Dediğim gibi bu şekilde networkten, ağdan bağlandığı bir bilgisayar yok. Ağdan gelebilecek bir sıkıntı olma ihtimali çok uzak geliyor.

CevapAlıntı
Gönderildi : 12/07/2011 1:34 pm
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

bu bilgiler ile çözmek çok zor çünkü bu bir mail server ve hosting makinesi, üzerinde kaç domain var ? Bu session lar normal iis sessionları olabilir , ftp olabilir , mail server olabilir yani hosting makinelerindeki dar boğazları çözmek uzmanlık ister ve bunu da her bir kullandığınız ürünü izleyerek yapabilirsiniz, o sırada bir web sitesi atak alıyordur, yoğunluk vardır vs yani bu şekilde forumdan bunu çözmeniz çok zor.


tavsiyem PAL ile sistemi bir taratın bakalım neler çıkacak ve bu cpu kullanımı sırasında process explorer ile takip edin bakalım bu exe ler nerelerde çalışıyor.


 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 12/07/2011 8:36 pm
Adem ARSLAN
(@AdemARSLAN)
Üye

Teşekkürler.. Deneyeceğim..

 

Saygılarımla;

Adem ARSLAN 

CevapAlıntı
Gönderildi : 12/07/2011 11:01 pm
Adem ARSLAN
(@AdemARSLAN)
Üye

Şu an itibari ile firewall loglarından bu işlem yapılırken 3389 portuna yoğun istek geldiğini tespit ettim. winlogon.exe ile csrss.exe bu yüzden işlemciyi zorluyor. Sanırım bu olay tamamen bir atak ile ilgili. Bu durumda 3389 RDP portu ile ilgili bir işlem tavsiye eder misiniz?

Saygılarımla;

Adem ARSLAN

CevapAlıntı
Gönderildi : 25/07/2011 3:02 pm
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

tabiki ilk olarak standart rdp portunu değiştirin eğer bu yeterli gelmez ise RDP için ipsec veya sertifika kullanın.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 25/07/2011 8:26 pm
Adem ARSLAN
(@AdemARSLAN)
Üye

Teşekkürler..
Şimdilik sorun yok gibi ama ipsec ve sertifika işlemini anlamadım.. Bu konuda bir döküman varmı acaba?

Saygılarımla;

Adem ARSLAN 

CevapAlıntı
Gönderildi : 25/07/2011 9:24 pm
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Evet makale bölümünüde arama yapabilirsiniz.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 25/07/2011 11:57 pm
Adem ARSLAN
(@AdemARSLAN)
Üye

Çok teşekkür ederim..

Adem ARSLAN

CevapAlıntı
Gönderildi : 27/07/2011 4:40 pm
Sayfa 1 / 2
Paylaş:
  
Çalışıyor

Lütfen Giriş yap yada Kayıt ol