Проблемы с RPC Service - систему регулярно ребутит
5906
33
netghost
Бордератор
Седня началось что-то непонятное. Короче из 25 машин почти все время от времени (раз в 20-30 минут) вываливают сообщение от NT AUTHORITY\SYSTEM о том, что "The Remote Procedure Call (RPC) service terminated unexpectedly". И через 60 секунд комп ребутится. Поискал на эту тему инфу в гугле, яндексе и на M$. Ничего по этой теме нет. Есть только одно упоминание о подобном косяке в Windows 2000, там как решение предлагают скачать SP4, либо обратиться в службу поддержки за хотфиксом. У меня такие косяки возникают на WinXP и Win2k3. Еще нарыл, что подобный эффект могут иметь DOS-аттаки, может это и так. Firewall-а нет, все машины смотрят наружу. Видимо надо ставить на каждой firewall и блокировать порты 135-139. Кстати, какой firewall посоветуете? Кто что может сказать про BlackIce?
У кого-нибудь еще такие косяки сегодня были? Может вирус какой-то новый пошел, который в локалке заваливает RPC? Короче need help, а то совсем невозможно. Пока временно "залечил" проблему тем, что поставил в свойствах RPC не ребутиться, а рестартить сервис. Но вот разобраться в причинах, вызывающих такие косяки я пока не могу...
У кого-нибудь еще такие косяки сегодня были? Может вирус какой-то новый пошел, который в локалке заваливает RPC? Короче need help, а то совсем невозможно. Пока временно "залечил" проблему тем, что поставил в свойствах RPC не ребутиться, а рестартить сервис. Но вот разобраться в причинах, вызывающих такие косяки я пока не могу...
читать надо правильные сайты Ж-)
http://nnm.ru/
цитата:
Ахтунг! Срочно качаем заплату распространяющуюся на все версии виндов (англ или рус)! Дыра была известна уже давно, но кто то шустрый сделал вирь опираясь на эту дырочку.
При обращении к svhost данная хрень вешает Вашу машину... Вещь не приятная... Тем, кто сидит за firewall`ом бояться нечего, но в качестве профилактики.
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp
http://download.microsoft.com/download/7/0/f/70f4eb2a-a663-4292-8ce7-581b1715bb51/WindowsXP-KB823980-x86-RUS.exe
картинка трапа
http://nnm.ru/
цитата:
Ахтунг! Срочно качаем заплату распространяющуюся на все версии виндов (англ или рус)! Дыра была известна уже давно, но кто то шустрый сделал вирь опираясь на эту дырочку.
При обращении к svhost данная хрень вешает Вашу машину... Вещь не приятная... Тем, кто сидит за firewall`ом бояться нечего, но в качестве профилактики.
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp
http://download.microsoft.com/download/7/0/f/70f4eb2a-a663-4292-8ce7-581b1715bb51/WindowsXP-KB823980-x86-RUS.exe
картинка трапа
кстати как то жестоко..чтобы куча машин смотрела в тырнет..однозначно надо проксю+фирвол.
Я читая сообщение про эту дыру сидел и ухмылялся...хотя за ISA сидит не мало машинок без данного патча включяя и мою Ж-)))
Я читая сообщение про эту дыру сидел и ухмылялся...хотя за ISA сидит не мало машинок без данного патча включяя и мою Ж-)))
На каждой ставить firewall - неблагодарное дело. firewall нужно ставить в одном месте. И это место должно быть точкой доступа в инет.
И по мне шлюзом в инет должа быть мошинка пол линуксом. Но это только мое ИМХО.
И по мне шлюзом в инет должа быть мошинка пол линуксом. Но это только мое ИМХО.
Уфф... Наконец-то справился. Пропатчил все компы. Осталось только определить, откуда идет атака. Спасибо огромное за оперативность, вот только никогда раньше не думал, что http://www.nnm.ru - "правильный сайт" - я всегда считал его варезником, которым я не сильно доверяю ;).
Насчет файерволла - единственная преграда, которая препятствует тому, чтобы я поставил firewall - необходимость выбить с начальства комп ;).
ЗЫ: Интересно, откуда пошла атака? По крайней мере весь ИАиЭ лихорадило с утра.
ЗЗЫ: Антивирус - symantec corp. Надеюсь, атака не изнутри, т.е. червя не подхватили...
Насчет файерволла - единственная преграда, которая препятствует тому, чтобы я поставил firewall - необходимость выбить с начальства комп ;).
ЗЫ: Интересно, откуда пошла атака? По крайней мере весь ИАиЭ лихорадило с утра.
ЗЗЫ: Антивирус - symantec corp. Надеюсь, атака не изнутри, т.е. червя не подхватили...
Такая же фигня началось гдето в воскресенье
Сейчас буду качать и ставить заплатки. Что интересно, Dr.Web ведет себя так, как будто это к нему не относится хотя базы я обновлял вчера.
Сейчас буду качать и ставить заплатки. Что интересно, Dr.Web ведет себя так, как будто это к нему не относится хотя базы я обновлял вчера.
Сейчас читают
Деньги за возврат в семью.
59689
345
Красота и беременность (часть 13)
167219
1000
красота и материнство (часть 103)
171436
1000
Еще в догонку... (От 11.08.2003)
ну у меня сюмантек не сильно часто базы апдейтит...щяс от 08.08 и всё сухо...
А комп на проксю надо выбивать ОБЯЗАТЕЛЬНО....почему...обьяснять не могу..сорвусь на эмоции %-))))
А комп на проксю надо выбивать ОБЯЗАТЕЛЬНО....почему...обьяснять не могу..сорвусь на эмоции %-))))
А чем теперешняя ситуация не аргумент в целесообразности выделения компа под проксятник+firewall?
Угадай чем я щас занимаюсь?... Правильно, убеждаю начальство в неоходимости компа на firewall! Будем надеяться у меня все получится
осмелюсь предположить что начальство убеждается не в устной форме..а то очень часто будет появлятся синдром "забывчивости"...ну а раз речь идёт о бумажке то можеш прям в форум рыбу кинуть...тут проснутся зубры канцелярита и бумажка выйдет реально страшной. потом можеш симулировать атаку и гордо помахивая бумажкой делать хитрую морду тяпкой и говорить что "я предупреждал !!!!!" Ж-))))))))))
Полность согласен насчет того, что firewall+proxy должен быть никсовым. Временно достал машину, на которую можно поставить firewall, пока не дадут другую. Единственная небольшая проблема в том, что в отличие от моего уровня в виндовых системах, в линуксе я бы оценил свои познания где-то между пользователем и опытным пользователем. Т.е. поставить я его могу без проблем, но вот полная настройка да еще и firewall-а с проксей для меня пока задача не совсем очевидная. Манов придется немало почитать.
Для начала хотел бы посоветоваться, какой дистриб лучше всего ставить для таких целей? Из линуксов мне почему-то больше всего привлекательным кажется red hat, но точно не знаю, лучший ли это выбор. И затем, какой firewall и какой proxy туда лучше ставить? И еще - на какие аспекты настроек следует обратить внимание в первую очередь дабы обеспечить безопасность системы?
Для начала хотел бы посоветоваться, какой дистриб лучше всего ставить для таких целей? Из линуксов мне почему-то больше всего привлекательным кажется red hat, но точно не знаю, лучший ли это выбор. И затем, какой firewall и какой proxy туда лучше ставить? И еще - на какие аспекты настроек следует обратить внимание в первую очередь дабы обеспечить безопасность системы?
сейчас меня будут бить, и возможно ногами.
ставь freebsd. оно под роутер прямее будет.
ставь freebsd. оно под роутер прямее будет.
2hidden -
2ALL -
вы не поверити сколько раз седня люди скачали сп4!
да уж прихожу домой, а там тесть значит рассказывает, что у них седня все компы не работали и угадайте из-за чего
2ALL -
вы не поверити сколько раз седня люди скачали сп4!
да уж прихожу домой, а там тесть значит рассказывает, что у них седня все компы не работали и угадайте из-за чего
Может кто нибудь обьяснит что это за вирь такой? Как он называется и вообще где инфу про него взять?
Единственная небольшая проблема в том, что в отличие от моего уровня в виндовых системах, в линуксе я бы оценил свои познания где-то между пользователем и опытным пользователем.Гм-м-м... Я вот лично свои знания в линухе тоже оцениваю на пользователя.
По поводу дистриба линуха есть такой совет: ставь тот, что стоит у знакомого гуру. Но по мне они отличаются только инсталяшкой и иногда местом положения конфигов. А по общему - это все конструктор. Что захотел - то сделал.
К стати небольшое уточнение: firewal ИМХОl это все-таки не отдельная программа, а по большей части это понятие, описывающее комплекс средств и программ, призванных разделить внутреннюю и внешнюю сети.
По поводу прокси: в качестве http-прокси пользую squid. Довольно гибкая штука. Еще по мелочам пользую delegate - может дофига всего и легок в настройке.
А по поводу безопасности и всего остального - статей в инете куча. Можно их куритьпока не наступит полное просветление.Ну и с мелкими вопросами можем помочь и так.
netghost
Бордератор
Просмотри весь топик сначала. Там есть несколько ссылок. В том числе в догонку... и Еще в догонку. Но пострадать можно даже не заразившись самим - просто вирь начинает всю сетку валить пакетами, которые переполняют буфер RPC сервиса. Надо накатывать патч и прописывать 135, 139 и 445 порты в firewall-е.
Бить? Не-е-е-е! Не дождешься!
Хотя действительно очень часто слышу это мнение ( в смысле не про бить, а то что freebsd прямее будет), так что оно имеет место быть. Хотя слышу и другое мнение, что и линукс неплох.. В общем каждый выбирает одежку по себе.
Хотя действительно очень часто слышу это мнение ( в смысле не про бить, а то что freebsd прямее будет), так что оно имеет место быть. Хотя слышу и другое мнение, что и линукс неплох.. В общем каждый выбирает одежку по себе.
Чуть выше накидали достаточно ссылок, для того чтобы понять что это за вирь такой. Да и инфа по вирусом вообще-то есть, как это не странно, на сайтах антивирусных компаний.
сейчас меня будут бить, и возможно ногами.А в настройке она же не сложнее red hat'а например? И почему вдруг тебя станут бить ногами? Я слышал, что freebsd вполне стабильная система... Правда кажется не весь софт под нее портится...
ставь freebsd. оно под роутер прямее будет.
Хе хе, ждите атаку на Dcom )))) Вот будет смеху-то...наконец-то начали валить эти гребанные винды.Я уже плакаю о том, сколько каждый день дырок находится, я уже молчу про snmp ))))))) который с 95 идеть, а им хоть в лоб хоть по лбу..так им..пусть научатся писать сетевизмы..удоды.
надо еще пару десятков опрокинуть сервисов..могет тогда научатся.
надо еще пару десятков опрокинуть сервисов..могет тогда научатся.
IMHO, Red Hat - это попса в мире дистрибов Linux-а. Выбирать для сервера/фильтра/роутера надо или наиболее знакомый, или Debian :).
Могу еще предложить в качестве роутера Cisco с двумя портами Ethernet, что-нить типа 1700-й серии, но тут люди бедные, и меня точно запинают ногами
Могу еще предложить в качестве роутера Cisco с двумя портами Ethernet, что-нить типа 1700-й серии, но тут люди бедные, и меня точно запинают ногами
Red Hat - это попса в мире дистрибов Linux-а.имею противоположное мнение
седня утром по вестям такую лажу прогнали про вирус....ужас!
седня утром по вестям такую лажу прогнали про вирус....ужас!Ага, тоже видел. Бедный M$ ;). Хотя т.к. у вируса нет механизма распространения окромя сетевого через RPC (на компе он файлы не заражает), то эпидемию скорее всего остановят до 16-го.
ЗЫ: А Symantec среагировал быстрее Диалог-науки (Др. Веб выпустили патч 12-го, а Symantec 11-го), хотя у симантека преимущество почти в пол-сутки ;).
не помню проскакивала эта ссылка тут или нет..но сюмантек разродился на removal tol от
этой заразы
этой заразы
Сорри, если повторю чью-то сцылку (топик не читал, времени нет), но тута усе грамотно рассказано. Гуд лак!
nhps
veteran
тута усе грамотно рассказано.Простите, но данная страница не найдена:
http://forum.ixbt.com/0022/043205.html
Судя по всему, 15.08.2003 16:02 её удалил автоматический робот.
Какой-то, извиняюсь, добрый человек уже всех обломал:
http://www.compulenta.ru/2003/8/19/41430/?ref=sidebar
Ну развеж можно так над людями издеваться! :ooo:
http://www.compulenta.ru/2003/8/19/41430/?ref=sidebar
Ну развеж можно так над людями издеваться! :ooo:
А-а-а-а-а!!!! Война вирусов!!!! %)))))))
Поручик Голицын
шатун сибирский обыкновенный
>>> Хотя т.к. у вируса нет механизма распространения окромя сетевого через RPC (на компе он файлы не заражает), то эпидемию скорее всего остановят до 16-го.
Нда... Хотелось верить, что так оно и было, но...Вчерась хапнул я его. Да не просто так, а такое ощущение, что он ждал именно меня :).
Ставил ХРень на девственно чистый винт... А заплатку сразу пришить забыл.... Любовно заливал софтинку за софтинкой.... Напоследок поставил жопорез и полез в почту.... . Через 2 минуты вылазит что бы вы думали?...... Правильно! "Закрывай все на хрен, а то перезагружусь через минуту!"
То ли на пингвина пересесть?
Нда... Хотелось верить, что так оно и было, но...Вчерась хапнул я его. Да не просто так, а такое ощущение, что он ждал именно меня :).
Ставил ХРень на девственно чистый винт... А заплатку сразу пришить забыл.... Любовно заливал софтинку за софтинкой.... Напоследок поставил жопорез и полез в почту.... . Через 2 минуты вылазит что бы вы думали?...... Правильно! "Закрывай все на хрен, а то перезагружусь через минуту!"
То ли на пингвина пересесть?