Проблемы с RPC Service - систему регулярно ребутит
5901
33
Седня началось что-то непонятное. Короче из 25 машин почти все время от времени (раз в 20-30 минут) вываливают сообщение от NT AUTHORITY\SYSTEM о том, что "The Remote Procedure Call (RPC) service terminated unexpectedly". И через 60 секунд комп ребутится. Поискал на эту тему инфу в гугле, яндексе и на M$. Ничего по этой теме нет. Есть только одно упоминание о подобном косяке в Windows 2000, там как решение предлагают скачать SP4, либо обратиться в службу поддержки за хотфиксом. У меня такие косяки возникают на WinXP и Win2k3. Еще нарыл, что подобный эффект могут иметь DOS-аттаки, может это и так. Firewall-а нет, все машины смотрят наружу. Видимо надо ставить на каждой firewall и блокировать порты 135-139. Кстати, какой firewall посоветуете? Кто что может сказать про BlackIce?

У кого-нибудь еще такие косяки сегодня были? Может вирус какой-то новый пошел, который в локалке заваливает RPC? Короче need help, а то совсем невозможно. Пока временно "залечил" проблему тем, что поставил в свойствах RPC не ребутиться, а рестартить сервис. Но вот разобраться в причинах, вызывающих такие косяки я пока не могу...
netghost
читать надо правильные сайты Ж-)
http://nnm.ru/
цитата:
Ахтунг! Срочно качаем заплату распространяющуюся на все версии виндов (англ или рус)! Дыра была известна уже давно, но кто то шустрый сделал вирь опираясь на эту дырочку.
При обращении к svhost данная хрень вешает Вашу машину... Вещь не приятная... Тем, кто сидит за firewall`ом бояться нечего, но в качестве профилактики.

http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp

http://download.microsoft.com/download/7/0/f/70f4eb2a-a663-4292-8ce7-581b1715bb51/WindowsXP-KB823980-x86-RUS.exe


картинка трапа
netghost
кстати как то жестоко..чтобы куча машин смотрела в тырнет..однозначно надо проксю+фирвол.
Я читая сообщение про эту дыру сидел и ухмылялся...хотя за ISA сидит не мало машинок без данного патча включяя и мою Ж-)))
netghost
На каждой ставить firewall - неблагодарное дело. firewall нужно ставить в одном месте. И это место должно быть точкой доступа в инет.
И по мне шлюзом в инет должа быть мошинка пол линуксом. Но это только мое ИМХО.:миг:
cyberhawk
Уфф... Наконец-то справился. Пропатчил все компы. Осталось только определить, откуда идет атака. Спасибо огромное за оперативность, вот только никогда раньше не думал, что http://www.nnm.ru - "правильный сайт" - я всегда считал его варезником, которым я не сильно доверяю ;).

Насчет файерволла - единственная преграда, которая препятствует тому, чтобы я поставил firewall - необходимость выбить с начальства комп ;).

ЗЫ: Интересно, откуда пошла атака? По крайней мере весь ИАиЭ лихорадило с утра.

ЗЗЫ: Антивирус - symantec corp. Надеюсь, атака не изнутри, т.е. червя не подхватили...
netghost
Такая же фигня началось гдето в воскресенье :хммм:
Сейчас буду качать и ставить заплатки. Что интересно, Dr.Web ведет себя так, как будто это к нему не относится хотя базы я обновлял вчера.
netghost
ну у меня сюмантек не сильно часто базы апдейтит...щяс от 08.08 и всё сухо...
А комп на проксю надо выбивать ОБЯЗАТЕЛЬНО....почему...обьяснять не могу..сорвусь на эмоции %-))))
netghost
А чем теперешняя ситуация не аргумент в целесообразности выделения компа под проксятник+firewall?
Barlog
Угадай чем я щас занимаюсь?... Правильно, убеждаю начальство в неоходимости компа на firewall! Будем надеяться у меня все получится:миг:
netghost
осмелюсь предположить что начальство убеждается не в устной форме..а то очень часто будет появлятся синдром "забывчивости"...ну а раз речь идёт о бумажке то можеш прям в форум рыбу кинуть...тут проснутся зубры канцелярита и бумажка выйдет реально страшной. потом можеш симулировать атаку и гордо помахивая бумажкой делать хитрую морду тяпкой и говорить что "я предупреждал !!!!!" Ж-))))))))))
Barlog
Полность согласен насчет того, что firewall+proxy должен быть никсовым. Временно достал машину, на которую можно поставить firewall, пока не дадут другую. Единственная небольшая проблема в том, что в отличие от моего уровня в виндовых системах, в линуксе я бы оценил свои познания где-то между пользователем и опытным пользователем. Т.е. поставить я его могу без проблем, но вот полная настройка да еще и firewall-а с проксей для меня пока задача не совсем очевидная. Манов придется немало почитать.

Для начала хотел бы посоветоваться, какой дистриб лучше всего ставить для таких целей? Из линуксов мне почему-то больше всего привлекательным кажется red hat, но точно не знаю, лучший ли это выбор. И затем, какой firewall и какой proxy туда лучше ставить? И еще - на какие аспекты настроек следует обратить внимание в первую очередь дабы обеспечить безопасность системы?
netghost
сейчас меня будут бить, и возможно ногами. :спок:
ставь freebsd. оно под роутер прямее будет.
hidden
2hidden -:улыб:

2ALL -

вы не поверити сколько раз седня люди скачали сп4!:улыб:

да уж прихожу домой, а там тесть значит рассказывает, что у них седня все компы не работали и угадайте из-за чего

:улыб:
netghost
Может кто нибудь обьяснит что это за вирь такой? Как он называется и вообще где инфу про него взять?
netghost
Единственная небольшая проблема в том, что в отличие от моего уровня в виндовых системах, в линуксе я бы оценил свои познания где-то между пользователем и опытным пользователем.
Гм-м-м... Я вот лично свои знания в линухе тоже оцениваю на пользователя.:миг: :ха-ха!:
По поводу дистриба линуха есть такой совет: ставь тот, что стоит у знакомого гуру. Но по мне они отличаются только инсталяшкой и иногда местом положения конфигов. А по общему - это все конструктор. Что захотел - то сделал.
К стати небольшое уточнение: firewal ИМХОl это все-таки не отдельная программа, а по большей части это понятие, описывающее комплекс средств и программ, призванных разделить внутреннюю и внешнюю сети.
По поводу прокси: в качестве http-прокси пользую squid. Довольно гибкая штука. Еще по мелочам пользую delegate - может дофига всего и легок в настройке.
А по поводу безопасности и всего остального - статей в инете куча. Можно их куритьпока не наступит полное просветление.:миг:Ну и с мелкими вопросами можем помочь и так.
:спок:
Просмотри весь топик сначала. Там есть несколько ссылок. В том числе в догонку... и Еще в догонку. Но пострадать можно даже не заразившись самим - просто вирь начинает всю сетку валить пакетами, которые переполняют буфер RPC сервиса. Надо накатывать патч и прописывать 135, 139 и 445 порты в firewall-е.
hidden
Бить? Не-е-е-е! Не дождешься!:миг: :ха-ха!:
Хотя действительно очень часто слышу это мнение ( в смысле не про бить, а то что freebsd прямее будет), так что оно имеет место быть. Хотя слышу и другое мнение, что и линукс неплох.. В общем каждый выбирает одежку по себе. :спок:
Чуть выше накидали достаточно ссылок, для того чтобы понять что это за вирь такой. Да и инфа по вирусом вообще-то есть, как это не странно, на сайтах антивирусных компаний.
hidden
сейчас меня будут бить, и возможно ногами. :спок:
ставь freebsd. оно под роутер прямее будет.
А в настройке она же не сложнее red hat'а например? И почему вдруг тебя станут бить ногами? Я слышал, что freebsd вполне стабильная система... Правда кажется не весь софт под нее портится...
netghost
Хе хе, ждите атаку на Dcom )))) Вот будет смеху-то...наконец-то начали валить эти гребанные винды.Я уже плакаю о том, сколько каждый день дырок находится, я уже молчу про snmp ))))))) который с 95 идеть, а им хоть в лоб хоть по лбу..так им..пусть научатся писать сетевизмы..удоды.
надо еще пару десятков опрокинуть сервисов..могет тогда научатся.
netghost
IMHO, Red Hat - это попса в мире дистрибов Linux-а. Выбирать для сервера/фильтра/роутера надо или наиболее знакомый, или Debian :).

Могу еще предложить в качестве роутера Cisco с двумя портами Ethernet, что-нить типа 1700-й серии, но тут люди бедные, и меня точно запинают ногами:улыб:
VinD
Red Hat - это попса в мире дистрибов Linux-а.
имею противоположное мнение

седня утром по вестям такую лажу прогнали про вирус....:улыб:ужас!
VinD
Полностью согласен насчет шапки.
graff
седня утром по вестям такую лажу прогнали про вирус....:улыб:ужас!
Ага, тоже видел. Бедный M$ ;). Хотя т.к. у вируса нет механизма распространения окромя сетевого через RPC (на компе он файлы не заражает), то эпидемию скорее всего остановят до 16-го.

ЗЫ: А Symantec среагировал быстрее Диалог-науки (Др. Веб выпустили патч 12-го, а Symantec 11-го), хотя у симантека преимущество почти в пол-сутки ;).
netghost
не помню проскакивала эта ссылка тут или нет..но сюмантек разродился на removal tol от
этой заразы
netghost
Сорри, если повторю чью-то сцылку (топик не читал, времени нет), но тута усе грамотно рассказано. Гуд лак!:улыб:
cyberhawk
не помню проскакивала эта ссылка тут или нет..но сюмантек разродился на removal tol от
этой заразы
А M$ разродился на тулзу для сканирования и определение в сети непропатченных компов. Вот ссылка
тута усе грамотно рассказано.
Простите, но данная страница не найдена:

http://forum.ixbt.com/0022/043205.html

Судя по всему, 15.08.2003 16:02 её удалил автоматический робот.
nhps
Какой-то, извиняюсь, добрый человек уже всех обломал:
http://www.compulenta.ru/2003/8/19/41430/?ref=sidebar
Ну развеж можно так над людями издеваться! :ooo:
Herr
А-а-а-а-а!!!! Война вирусов!!!! %))))))) :ухмылка: :ухмылка: :ухмылка: :ухмылка:
netghost
>>> Хотя т.к. у вируса нет механизма распространения окромя сетевого через RPC (на компе он файлы не заражает), то эпидемию скорее всего остановят до 16-го.

Нда... Хотелось верить, что так оно и было, но...:хммм:Вчерась хапнул я его. Да не просто так, а такое ощущение, что он ждал именно меня :).
Ставил ХРень на девственно чистый винт... А заплатку сразу пришить забыл.... Любовно заливал софтинку за софтинкой.... Напоследок поставил жопорез и полез в почту.... :безум:. Через 2 минуты вылазит что бы вы думали?...... Правильно! "Закрывай все на хрен, а то перезагружусь через минуту!"

То ли на пингвина пересесть? :а\?: