TWed2k - 軟體求助討論區 - [求助]Server2003 服務中的 "server"被關閉(問題已解決)

主題: [求助] [求助]Server2003 服務中的 "server"被關閉(問題已解決) [打印本頁]

發表人: Ailio 時間: 2009-2-11 10:40 AM 主題: [求助]Server2003 服務中的 "server"被關閉(問題已解決)

最近遇到一個棘手的問題

在工作的伺服器中出現了 "server" 這個服務會被停止

這服務停止會影響網路分享跟遠端桌面等功能

目前是設定當這服務中止會自動啟動這服務

但是這方法畢竟治標不治本而且在服務重啟時遠端連到伺服器上的連線都會中斷

造成工作上的不便

當初本以為這狀況是個案也就沒有注意

但是公司另一個點的伺服器也出現同樣的狀況所以感覺似乎不是這麼單純

希望能尋求各位網友的建議或協助

[Ailio 在 2009-2-15 12:36 PM 作了最後編輯]

發表人: Designer 時間: 2009-2-11 11:58 AM

1.的 2003 SERVER 上的 SERVICE PACK 是否有更新到最新版? 有無執行WINDOWS UPDATE ?
2.EVENT LOG 是否有異常?
3.如果可以的話..停止一些無用的服務!
4.既然有開啟遠端桌面那就更要小心入侵的問題!!

發表人: mmcatdog 時間: 2009-2-11 03:00 PM

有啟用iis功能嗎? 是否先中斷iis或是sql對外公司試試看上網路下載autoruns看有沒有奇怪的服務
再利用cprost找看看奇怪的執行程式

發表人: Ailio 時間: 2009-2-11 05:22 PM

感謝兩位的協助

Server2003 更新SP1之後並沒有開啟自動更新

因為小弟服務的公司算是診所外包的資訊服務因此不會整天呆在固定的診所

診所內醫護人員多半也沒什麼電腦常識所以怕開啟更新如果主機自己重開

他們線上使用可能會出現問題

至於IIS 主機並沒有啟用這服務因為主機主要是做file server的工作而已
(存取病歷資料庫 X光片圖檔等)

cprost & autoruns 我還沒用過我會先試試看

再次感謝兩位協助也請其他有經驗的人如有其他見解也能提出來感謝

發表人: Ailio 時間: 2009-2-12 12:34 AM

今天大致理出頭緒

近來有隻病毒蠻火紅的 confiker

http://www.microsoft.com/taiwan/press/2009/01/0114.mspx

微軟的新聞稿

由於我們佈署的單位(診所) 電腦都不多而且也沒有資訊人員常駐

所以flie server上的防護不多

剛好遇上了專門針對區網分享且跟USB病毒傳播方式結合的 Conficker

最近這病毒也變種出 Conficker.B

如果也有當MIS的人請務必要小心這隻病毒

真的...難搞...

目前手邊帶回的主機有兩台抓出conficker 還不知道災情如何

但是看微軟的新聞跟新變種

這種跟疾風一樣鑽漏洞的病毒真是難搞
(一直懷疑是不是微軟自己作的..>< 鑽漏洞)

根據網路上收集的資料

首先這病毒會攻擊 Server這支服務的漏洞

而微軟的作業系統中後期有加入 DEP系統 (惡意程式執行防止系統)

所以偵測到Server被攻擊就強制中止導致file server 無法工作

目前暫時推論是如此還在陸續的過濾當中

還好後期有導入 Returnil這套影子還原系統

所以災情還算普通不然看來又要不眠不休的解毒了

老闆正在考慮乾脆把電腦的USB孔給他封起來..以杜絕這類USB傳播的惡意病毒

不然毒解了但是隨身碟上還有分身一插上電腦又掛了...

[Ailio 在 2009-2-12 12:41 AM 作了最後編輯]

發表人: icon 時間: 2009-3-4 12:16 AM

你的情況,看起來是出問題的主機(server service會停掉)存在的區網中的其它電腦(講得很像太複雜 XD)有中你提到的那個病毒
然後嘗試去攻擊並感染區網中剩餘的電腦
而你的主機沒有把Patch更新到最新
所以會有那種問題
而又看你的敘述,是使用網芳在存取網路上的檔案
所以你沒辦法使用防火牆進行連線的阻隔
只有更新Patch一途了

--
如有謬誤,歡迎指正

歡迎光臨 TWed2k (http://twed2k.org/)