Forum

Gece 00:01 de shutd...
 
Bildirimler
Hepsini Temizle

Gece 00:01 de shutdown olan sunucu

15 Yazılar
10 Üyeler
0 Reactions
1,293 Görüntüleme
(@AkinBOREKCI)
Gönderiler: 45
Trusted Member
Konu başlatıcı
 

Merhaba Arkadaşlar,


İlginç bir problemim var.


Windows Server 2003 Ent. Edi. SP2 ve bütün yamaları yapılmış bir sunucum var.


5 gündür gece yarısı 00:01 de sunucu kapanıyor. logları inceledim. aşağıdaki gibi:


Event ID :26 /application popup


Application popup: Automatic System Shutdown : System shutdown due to <Realtime Clock> in 60 seconds!


Event ID: 1074 / user32


The process winlogon.exe has initiated the power off of computer SERVERNAME on behalf of user NT AUTHORITY\SYSTEM for the following reason: No title for this reason could be found
Reason Code: 0xc0030000
Shutdown Type: power off
Comment: System shutdown due to a <Realtime Clock> event


Virus taraması yaptırdım. Üzerinde aktif ve veritabanı güncel bir AV var. Sasser, Blaster removal tool ile arama yaptırdım fakat bir sonuç çıkmadı.


Neden olabilir. Fikri olan var mı acaba?


 Teşekkürler.


 

 
Gönderildi : 11/08/2010 17:33

(@Burakistanbullu)
Gönderiler: 334
Reputable Member
 

Merhaba


Server üzerinde herhangi bir schedule tanımı var mı ?


İyi Çalışmalar

 
Gönderildi : 11/08/2010 17:44

(@riza-sahan)
Gönderiler: 18032
_
 

Merhaba,


http://support.microsoft.com/kb/293814&prev=/search%3Fq%3DThe%2Bprocess%2Bwinlogon.exe%2Bhas%2Binitiated%2Bthe%2Bpower%2Boff%2Bof%2Bcomputer%2BSERVERNAME%2Bon%2Bbehalf%2Bof%2Buser%2BNT%2BAUTHORITY%255CSYSTEM%2Bfor%2Bthe%2Bfollowing%2Breason:%2BNo%2Btitle%2Bfor%2Bthis%2Breason%2Bcould%2Bbe%2Bfound%26hl%3Dtr%26prmd%3Ddf&rurl=translate.google.com.tr&usg=ALkJrhhNr6EIBnEBP6FKOBZz0odge4973 Q"> http://translate.googleusercontent.com/translate_c?hl=tr&sl=en&u=http://support.microsoft.com/kb/293814&prev=/search%3Fq%3DThe%2Bprocess%2Bwinlogon.exe%2Bhas%2Binitiated%2Bthe%2Bpower%2Boff%2Bof%2Bcomputer%2BSERVERNAME%2Bon%2Bbehalf%2Bof%2Buser%2BNT%2BAUTHORITY%255CSYSTEM%2Bfor%2Bthe%2Bfollowing%2Breason:%2BNo%2Btitle%2Bfor%2Bthis%2Breason%2Bcould%2Bbe%2Bfound%26hl%3Dtr%26prmd%3Ddf&rurl=translate.google.com.tr&usg=ALkJrhhNr6EIBnEBP6FKOBZz0odge4973Q  bu linki inceleyebilirsiniz.

1984 doğumluyum. 4 yaşından bu yana İstanbul’da yaşıyorum. Sırası ile aşağıdaki okullarda eğitim gördüm. Paşaköy ilkokulu (1990-1995) Kartal Zekeriyya Güçer İlköğretim Okulu(1995-1998) Ümraniye Teknik ve Endüstri Meslek Lisesi Bilgisayar Bölümü(1998-2001) Kocaeli Üniversitesi Bilgisayar Programcılığı(2002-2004) Anadolu Ünv. İşletme Fakültesi(2006-2009) Lise yıllarından sonra bir bilgisayar firmasının teknik servisinde mesleğe merhaba dedim. Outsource olarak Citibank ytl ve bina taşınma projesinde yer alarak 8 ay görev yaptım. Bu görevden sonra şu an çalışmakta olduğum yerde bilgi işlem sorumlusu olarak göreve başladım ve 18 yıldır görevimin başındayım.

 
Gönderildi : 11/08/2010 17:46

(@AkinBOREKCI)
Gönderiler: 45
Trusted Member
Konu başlatıcı
 

Merhaba,


Onuda kontrol ettim. Yok.


Teşekkürler.

 
Gönderildi : 11/08/2010 17:46

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
 

bi gün otur başına 00:01' de ne oluyor gözünle gör bence. shutdown -s komutunu verirsen böyle yapar. scheduleddan arkadaşın kastettiği de odur. bu tür bi durum varsa silmen gerek. aynı saatte bu tür bişey oluyorsa, shutdown -a ile kesebilirsin.

 
Gönderildi : 11/08/2010 21:42

(@birolaydugan)
Gönderiler: 867
Prominent Member
 

Sisteminizde bir worm soz konusu da olabilir... Geniş kapsamli taramadan geçiriniz ...

 
Gönderildi : 11/08/2010 21:49

(@AkinBOREKCI)
Gönderiler: 45
Trusted Member
Konu başlatıcı
 

Dediğim gibi o saat ayarlanmış bir schedule yok.


Sistemi izlediğimde 00:01 de sistem 60 saniyeden geriye saymaya başlıyor ve shutdown oluyor, Tıpkı,  sasser yada blaster bulaşmış makinede çıkan ekran gibi bir uyarı çıkıyor ve kapanıyor.


 herhangi bir zararlı yazılım olabilir ihtimaline karşı detaylı bir arama yaptırdım fakat herhangi bir şey bulamadım.


 

 
Gönderildi : 12/08/2010 11:50

(@firatbilmis)
Gönderiler: 199
Reputable Member
 

Network de bulunan başka bir makinadan gelen bir virüs, servislerden birisini kapatıyor ve kapanan servis sonuduca server shutdown oluyor olabilir. Daha önce böyle birşey başıma geldi ve sorunlu client i bulup network bağlantısını kestim. detaylı bir temizlikten sonra sorun düzeldi. Eğer mümkünse o saatte serverın networkünü kapatın ve izleyin, bakalım ne olacak.

 
Gönderildi : 12/08/2010 11:55

(@Burakistanbullu)
Gönderiler: 334
Reputable Member
 

Network de bulunan başka bir makinadan gelen bir virüs, servislerden birisini kapatıyor ve kapanan servis sonuduca server shutdown oluyor olabilir. Daha önce böyle birşey başıma geldi ve sorunlu client i bulup network bağlantısını kestim. detaylı bir temizlikten sonra sorun düzeldi. Eğer mümkünse o saatte serverın networkünü kapatın ve izleyin, bakalım ne olacak.


Hangi virüs programını kullanıyorsunuz acaba?

 
Gönderildi : 12/08/2010 13:49

(@firatbilmis)
Gönderiler: 199
Reputable Member
 

Nod32 işinizi görecektir.

 
Gönderildi : 12/08/2010 14:32

(@AkinBOREKCI)
Gönderiler: 45
Trusted Member
Konu başlatıcı
 

Symantec Endpoint Protection kullanıyoruz.

 
Gönderildi : 12/08/2010 14:46

(@ertanyildizdal)
Gönderiler: 285
Reputable Member
 

farklı bir antivirüs yazılımı ile tekrar tarama yaptırın SEP malesef bu tür sorunlarda başarılı değil 🙁

 
Gönderildi : 12/08/2010 19:32

(@FiratAKCAY)
Gönderiler: 33
Eminent Member
 

yaklaşık 2 sene önceye kadar symantec endpoint protection kullanıyordum ve son zamanlarda exchange sunucu ile outlook kullanıcıları arasında sık sık bağlantı kopması veya sabah saatlarinde kullanıcıların exchange sunucuya logon olamaması tarzında sorunlar yaşıyordum.Sep'i rafa kaldırıp trend micro'ya geçince sep'in bulamadığı virüsleride buldu ve exchange outlook arasındaki sorun çözüldü.Arkadaşların dediği gibi farklı bir programla sistemi tarayın bu program trend micro da olabilir....

 
Gönderildi : 12/08/2010 23:06

(@erdemcilingiroglu)
Gönderiler: 2205
Noble Member
 

Event'lara düşen ID'yi incelediniz mi? Ben bazı yabancı forumlara da baktım genelde event id:1074 alınmış ve bazı çözüm yolları anlatılmış. Event ID'ye göre bir arama yapmakta fayda var. Saygılarımla.

 
Gönderildi : 14/08/2010 04:58

(@ugurdemir)
Gönderiler: 9886
Illustrious Member
 

Değerli arkadaşlar merhaba,


SEP'i bu kadar da kötülemeyelim 🙂 Ben kullanıyorum ve memnunum, stabil çalışıyor. Bu noktada Erdem'in de belirttiği gibi eventlardan yola çıkalım. Birde windows updateleri bilhassa securityleri yapın.


Keyifli çalışmalar. 

 
Gönderildi : 17/08/2010 03:59

Paylaş: