Forum

Windows 2003 server...
 
Bildirimler
Hepsini Temizle

Windows 2003 server da winlogon ve csrss işlemciyi yoruyor..

20 Yazılar
3 Üyeler
0 Likes
880 Görüntüleme
(@AdemARSLAN)
Gönderiler: 36
Eminent Member
Konu başlatıcı
 

Merhaba Arkadaşlar..

Remote desktop ile windows 2003 server a bağlandığımda herşey yolunda giderken task managerda session bölümünde girişlerin birden 300-400 birden arttığını gördüm. Baktım virüs yok, atak yok. Kontrol ettiğimde böyle olduğu zaman sunucuda winlogon.exe ve csrss.exe kendi kendine çoğalıp çoğalıp kayboluyor.. Bu durumda işlemciyi de yoruyor. Event viewer kontrol ettiğimde dikkatimi çeken alt alta bir sürü olan şu ileti oldu.

EVENT ID : 515

A trusted logon process has registered with the Local Security Authority. This logon process will be trusted to submit logon requests.  

 Logon Process Name: Winlogon\MSGina

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp. 

 

Sizce ne yapmalıyım..

Teşekkürler..

Adem ARSLAN 

 
Gönderildi : 10/07/2011 16:21

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 32965
Illustrious Member Yönetici
 

Merhaba

Bu anormal bir durum değil

http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=515

Virüs yok diyorsunuz, bu istemci tarafında mı yok terminal server mı ? istemci tarafınıda kontrol etmelisiniz.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 12/07/2011 01:39

(@AdemARSLAN)
Gönderiler: 36
Eminent Member
Konu başlatıcı
 

Merhaba;

Cevabınız için teşekkürler..

Fakat bu yeni olmaya başladı serverda.. Bu ileti event viewer da altalta onlar olmaya başlıyor. Bu durumda winlogon.exe 3-4 adete kadar çıkıp tekrar normale dönüyor. Csrss.exe de öyle.. Bu bir müddet devam ediyor. İşlemci %40-50 lerde geziyor. Sonra herşey normale dönüyor. Bu süre zarfında task manager da users bölümünde session sayısı 3-4 binlere fırlıyor.. Acaba diyorum atak mı oluyor?  

 

Saygılarımla;

Adem ARSLAN 

 
Gönderildi : 12/07/2011 02:42

(@AdemARSLAN)
Gönderiler: 36
Eminent Member
Konu başlatıcı
 

bu arada bu sorunu remote desktop ile bağlanarak görüyorum.. Sunucunun yanında değilim

 
Gönderildi : 12/07/2011 02:46

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 32965
Illustrious Member Yönetici
 

User bölümünde hangi userların logon olduğunu görebilirsiniz sunucuya, peki 3000 kişi kim ? yani kullanıcı isimlerini göremiyormusunuz ?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 12/07/2011 12:00

(@AdemARSLAN)
Gönderiler: 36
Eminent Member
Konu başlatıcı
 

İşte işin ilginç yanı bu.. Bakıyorum sadece ben varım. Başka bir kullanıcı yok. Ama RDP-TCP yanındaki sayaç kendiliğinden artmış oluyor. Aklıma atak ve donanımsal bir sorun dışında birşey gelmiyor. Sizce nedir?

 

Saygılarımla;

Adem ARSLAN 

 
Gönderildi : 12/07/2011 12:41

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 32965
Illustrious Member Yönetici
 

Kaç kullanıcı bu sistemi kullanıyor ?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 12/07/2011 13:02

(@AdemARSLAN)
Gönderiler: 36
Eminent Member
Konu başlatıcı
 

remote desktop ile bağlanan sadece benim.. Tek yetki bende.. Sistem üzerinde mail ve web host var sadece. Onların sayısı da 100 civarı. Ama dediğim gibi admin, remote desktop sadece benim yetkimde..

 

Saygılarımla,

ADEM ARSLAN 

 
Gönderildi : 12/07/2011 13:04

(@ALiPARLATICI)
Gönderiler: 40
Trusted Member
 

tahminimce bir virüs var ve bu virüs aktif oluyor ve anti virüs programınız siliyor. sürekli bu işlem gerçekleşiyor diye düşünüyorum. lanet olası bir autorun virüsü olabilir 

 
Gönderildi : 12/07/2011 13:07

(@AdemARSLAN)
Gönderiler: 36
Eminent Member
Konu başlatıcı
 

Virüs olduğunu zannetmiyorum. Çünkü sistemi tarattım. 

 
Gönderildi : 12/07/2011 13:27

(@ALiPARLATICI)
Gönderiler: 40
Trusted Member
 

serverda olmaya bilir ama terminallerin birisinden geliyo ağdan büyük ihtimalle bağlı olan bilgisayarların ağ bağlantılarını keserek gözlemledinizmi acaba.?

 
Gönderildi : 12/07/2011 13:31

(@AdemARSLAN)
Gönderiler: 36
Eminent Member
Konu başlatıcı
 

Dediğim gibi bu şekilde networkten, ağdan bağlandığı bir bilgisayar yok. Ağdan gelebilecek bir sıkıntı olma ihtimali çok uzak geliyor.

 
Gönderildi : 12/07/2011 13:34

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 32965
Illustrious Member Yönetici
 

bu bilgiler ile çözmek çok zor çünkü bu bir mail server ve hosting makinesi, üzerinde kaç domain var ? Bu session lar normal iis sessionları olabilir , ftp olabilir , mail server olabilir yani hosting makinelerindeki dar boğazları çözmek uzmanlık ister ve bunu da her bir kullandığınız ürünü izleyerek yapabilirsiniz, o sırada bir web sitesi atak alıyordur, yoğunluk vardır vs yani bu şekilde forumdan bunu çözmeniz çok zor.


tavsiyem PAL ile sistemi bir taratın bakalım neler çıkacak ve bu cpu kullanımı sırasında process explorer ile takip edin bakalım bu exe ler nerelerde çalışıyor.


 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 12/07/2011 20:36

(@AdemARSLAN)
Gönderiler: 36
Eminent Member
Konu başlatıcı
 

Teşekkürler.. Deneyeceğim..

 

Saygılarımla;

Adem ARSLAN 

 
Gönderildi : 12/07/2011 23:01

(@AdemARSLAN)
Gönderiler: 36
Eminent Member
Konu başlatıcı
 

Şu an itibari ile firewall loglarından bu işlem yapılırken 3389 portuna yoğun istek geldiğini tespit ettim. winlogon.exe ile csrss.exe bu yüzden işlemciyi zorluyor. Sanırım bu olay tamamen bir atak ile ilgili. Bu durumda 3389 RDP portu ile ilgili bir işlem tavsiye eder misiniz?

Saygılarımla;

Adem ARSLAN

 
Gönderildi : 25/07/2011 15:02

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 32965
Illustrious Member Yönetici
 

tabiki ilk olarak standart rdp portunu değiştirin eğer bu yeterli gelmez ise RDP için ipsec veya sertifika kullanın.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 25/07/2011 20:26

(@AdemARSLAN)
Gönderiler: 36
Eminent Member
Konu başlatıcı
 

Teşekkürler..
Şimdilik sorun yok gibi ama ipsec ve sertifika işlemini anlamadım.. Bu konuda bir döküman varmı acaba?

Saygılarımla;

Adem ARSLAN 

 
Gönderildi : 25/07/2011 21:24

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 32965
Illustrious Member Yönetici
 

Evet makale bölümünüde arama yapabilirsiniz.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 25/07/2011 23:57

(@AdemARSLAN)
Gönderiler: 36
Eminent Member
Konu başlatıcı
 

Çok teşekkür ederim..

Adem ARSLAN

 
Gönderildi : 27/07/2011 16:40

Sayfa 1 / 2
Paylaş: