Forum
Bildirimler
Hepsini Temizle
Windows Server
20
Yazılar
3
Üyeler
0
Reactions
1,231
Görüntüleme
Konu başlatıcı
Merhaba Arkadaşlar..
Remote desktop ile windows 2003 server a bağlandığımda herşey yolunda giderken task managerda session bölümünde girişlerin birden 300-400 birden arttığını gördüm. Baktım virüs yok, atak yok. Kontrol ettiğimde böyle olduğu zaman sunucuda winlogon.exe ve csrss.exe kendi kendine çoğalıp çoğalıp kayboluyor.. Bu durumda işlemciyi de yoruyor. Event viewer kontrol ettiğimde dikkatimi çeken alt alta bir sürü olan şu ileti oldu.
EVENT ID : 515
A trusted logon process has registered with the Local Security Authority. This logon process will be trusted to submit logon requests.
Logon Process Name: Winlogon\MSGina
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Sizce ne yapmalıyım..
Teşekkürler..
Adem ARSLAN
Gönderildi : 10/07/2011 16:21
Merhaba
Bu anormal bir durum değil
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=515
Virüs yok diyorsunuz, bu istemci tarafında mı yok terminal server mı ? istemci tarafınıda kontrol etmelisiniz.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 12/07/2011 01:39
Konu başlatıcı
Merhaba;
Cevabınız için teşekkürler..
Fakat bu yeni olmaya başladı serverda.. Bu ileti event viewer da altalta onlar olmaya başlıyor. Bu durumda winlogon.exe 3-4 adete kadar çıkıp tekrar normale dönüyor. Csrss.exe de öyle.. Bu bir müddet devam ediyor. İşlemci %40-50 lerde geziyor. Sonra herşey normale dönüyor. Bu süre zarfında task manager da users bölümünde session sayısı 3-4 binlere fırlıyor.. Acaba diyorum atak mı oluyor?
Saygılarımla;
Adem ARSLAN
Gönderildi : 12/07/2011 02:42
Konu başlatıcı
bu arada bu sorunu remote desktop ile bağlanarak görüyorum.. Sunucunun yanında değilim
Gönderildi : 12/07/2011 02:46
User bölümünde hangi userların logon olduğunu görebilirsiniz sunucuya, peki 3000 kişi kim ? yani kullanıcı isimlerini göremiyormusunuz ?
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 12/07/2011 12:00
Konu başlatıcı
İşte işin ilginç yanı bu.. Bakıyorum sadece ben varım. Başka bir kullanıcı yok. Ama RDP-TCP yanındaki sayaç kendiliğinden artmış oluyor. Aklıma atak ve donanımsal bir sorun dışında birşey gelmiyor. Sizce nedir?
Saygılarımla;
Adem ARSLAN
Gönderildi : 12/07/2011 12:41
Kaç kullanıcı bu sistemi kullanıyor ?
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 12/07/2011 13:02
Konu başlatıcı
remote desktop ile bağlanan sadece benim.. Tek yetki bende.. Sistem üzerinde mail ve web host var sadece. Onların sayısı da 100 civarı. Ama dediğim gibi admin, remote desktop sadece benim yetkimde..
Saygılarımla,
ADEM ARSLAN
Gönderildi : 12/07/2011 13:04
tahminimce bir virüs var ve bu virüs aktif oluyor ve anti virüs programınız siliyor. sürekli bu işlem gerçekleşiyor diye düşünüyorum. lanet olası bir autorun virüsü olabilir
Gönderildi : 12/07/2011 13:07
Konu başlatıcı
Virüs olduğunu zannetmiyorum. Çünkü sistemi tarattım.
Gönderildi : 12/07/2011 13:27
serverda olmaya bilir ama terminallerin birisinden geliyo ağdan büyük ihtimalle bağlı olan bilgisayarların ağ bağlantılarını keserek gözlemledinizmi acaba.?
Gönderildi : 12/07/2011 13:31
Konu başlatıcı
Dediğim gibi bu şekilde networkten, ağdan bağlandığı bir bilgisayar yok. Ağdan gelebilecek bir sıkıntı olma ihtimali çok uzak geliyor.
Gönderildi : 12/07/2011 13:34
bu bilgiler ile çözmek çok zor çünkü bu bir mail server ve hosting makinesi, üzerinde kaç domain var ? Bu session lar normal iis sessionları olabilir , ftp olabilir , mail server olabilir yani hosting makinelerindeki dar boğazları çözmek uzmanlık ister ve bunu da her bir kullandığınız ürünü izleyerek yapabilirsiniz, o sırada bir web sitesi atak alıyordur, yoğunluk vardır vs yani bu şekilde forumdan bunu çözmeniz çok zor.
tavsiyem PAL ile sistemi bir taratın bakalım neler çıkacak ve bu cpu kullanımı sırasında process explorer ile takip edin bakalım bu exe ler nerelerde çalışıyor.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 12/07/2011 20:36
Konu başlatıcı
Teşekkürler.. Deneyeceğim..
Saygılarımla;
Adem ARSLAN
Gönderildi : 12/07/2011 23:01
Konu başlatıcı
Şu an itibari ile firewall loglarından bu işlem yapılırken 3389 portuna yoğun istek geldiğini tespit ettim. winlogon.exe ile csrss.exe bu yüzden işlemciyi zorluyor. Sanırım bu olay tamamen bir atak ile ilgili. Bu durumda 3389 RDP portu ile ilgili bir işlem tavsiye eder misiniz?
Saygılarımla;
Adem ARSLAN
Gönderildi : 25/07/2011 15:02
tabiki ilk olarak standart rdp portunu değiştirin eğer bu yeterli gelmez ise RDP için ipsec veya sertifika kullanın.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 25/07/2011 20:26
Konu başlatıcı
Teşekkürler..
Şimdilik sorun yok gibi ama ipsec ve sertifika işlemini anlamadım.. Bu konuda bir döküman varmı acaba?
Saygılarımla;
Adem ARSLAN
Gönderildi : 25/07/2011 21:24
Evet makale bölümünüde arama yapabilirsiniz.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 25/07/2011 23:57
Konu başlatıcı
Çok teşekkür ederim..
Adem ARSLAN
Gönderildi : 27/07/2011 16:40
Sayfa 1 / 2
Sonraki
