баг винды

[misterio]

Простите заранее что размещаю вопрос в форуме багов zennoposter так как скорее всего баг у меня в системе, но тут мой вопрос быстрее заметят компетентные спецы


под ZP я арендую VPS. система Win Server 2008 R2. 2Gb оперативы. мало конечно, но пока вот так.
остальные параметры на скрине.

так вот задрало меня следующее:
при запуске системы все ок. работает нормально.
впринципе и после запуска все работает.
но по прошествии какого то времени начинает бесконца запускаться троица процессов и тут же завершаться.
чтоб было наглядно записал на видео сие явление.
(смотреть лучше на youtube там оно в нормальном размере и читабельно)

запускается csrss.exe с командной строкой

%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16

после стартует winlogon.exe
а и запускает LogonUI.exe
потом все это дело завершается и запускается по новой.

при этом все работает нормально, но это явно не дело. эта хрень полюбому жрет ресурсы да и не должно ее быть впринципе.

сам победить не смог. гугл выдает маловразумительные буржуйские треды в которых я ни чего не могу понять.
посоветуйте как быть.

 

[misterio]

еще немного инфы по проблеме:
сегодня остановил нафиг ZP - проблема исчезла.
т.е. проблема возникает только когда ZP молотит достаточно долго.

 

[Sergodjan]

что то вспоминаю, вроде бы было что то похожее..
выяснилось, что хакеры брутили впс..
но вроде бы у меня не было связи с ЗП, хотя впс именно с ЗП на борту был, правда со старой версией, с 4-ой..
еще посмотрите в оповещениях системы, там должны быть видны множественные попытки логона в винду..

 

[misterio]

Фигасе. А где посмотреть логи логона?
Я малость нуб в таких вещах.

 

[Sergodjan]

Фигасе. А где посмотреть логи логона?
Я малость нуб в таких вещах.

 

[misterio]

у меня там жесть какая то.
каждую секунду ошибка авторизации как я понимаю.
только 7 последних записей об успешной авторизации мои видимо.
это что же выходит кто то правда пытается ломануть мой VPS?

правда сейчас нет перезапускающихся процессов. и не было весь день вчера и всю ночь. пока был выключен ZP. с утра ZP включен. посмотрим будут ли процессы перезапускаться.

 

[KirillOFF]

это что же выходит кто то правда пытается ломануть мой VPS?

Если точнее, то все серваки, где открыт порт 3389 (RDP). Гуглите в сторону защиты от брута (Fail2Ban etc.)

 

[misterio]

Настройте lockout policy. По умолчанию Windows-сервер не защищен от брут-форса — атаки через подбор пароля. Хакер может создать, например, тысячу RDP-соединений (ака «Удаленный Рабочий Стол»), пробуя разные логины/пароли. Или терзать ваш FTP-сервер бесконечными подключениями… Именно поэтому стоит настроить «lockout» — временную блокировку пользователя после нескольких неудачных попыток.

1. 
   Идем в «Start — Run — secpol.msc — Security Settings — Account Policies — Account Lockout Policy». И ставим, например, «5 попыток» и «5 минут» — это заблокирует пользователя на 5 минут после 5 неудачных авторизаций.

сделано.
посмотрим теперь что будет в логах.
порт RDP боюсь менять. не знаю как это сделать и очкую что если что нить не то сделаю хрен потом к серверу сам подключусь.

 

[misterio]

блин. сори за даблпостинг.
ссылку забыл.

http://habrahabr.ru/post/116769/

 

[misterio]

блин. не помогает почемуто. какое то чудо упорно ломится ко мне на сервер. бан на 5 минут похду не работает. либо работает не так как я ожидал. лог по прежнему переполнен записями Audit Failure.

я так понимаю оно пытается авторизоваться. иногда перебирает порты. иногда перебирает логины. иногда наверное пароли. его IP меняются не часто.
я не думаю что оно меня ломанет потому что у меня адовый пароль который я и сам незнаю. но меня бесит постоянная бешенная активность в процессах.
как быть товарищи? я нуб в настройке серверов. посоветуйте если есть чего.

 

[Sergodjan]

порт RDP нужно сменить все же..
не бойтесь потерять контроль над впс - хостер всегда сможет помочь..
к тому же многие хостеры предоставдляют VNC-доступ..
через VNC можно получить доступ почти на железном уровне, напрмиер если сервер повис на POST-экране BIOS (до старта операционки)..

но я так понимаю, что даже если сменить порт - долбежки все-равно будут, и будут отображаться в логе..
просто система сразу отлуп будет давать..

 

[svaminar]

Да забань к у..м собачым файловом по подсети или ограничь по ип доступ к серверу

 

[misterio]

в логах постоянно меняется порт. оно перебирает порты.

странно еще и то что мои успешные авторизации с моих IP которые мне известны в логе тоже содержат разные порты. и ни где я не видел 3389.
хотя я могу не туда смотреть.

 

[misterio]

Да забань к у..м собачым файловом по подсети или ограничь по ип доступ к серверу

знать бы еще как. есть инструкции?
на хабре написано что файрвол в 2008 винде нормальный. я его могу только запустить и закрыть. понятия не имею как в нем настроить и что.

 

[misterio]

полез в файрвол
как я понимаю из этого скрина активен у меня сейчас профиль Public. а в нем равно как и в остальных на входящие соединения запрещено все для чего не создано правило.
я прав?

вот список активных правил для входящих соединений
скажите что мне тут поменять, что добавить что убрать?

мне надо что бы к серверу могли подключаться по 80 порту все кто хочет. и наверное по 443. (ну что бы с браузера могли спокойно зайти на сайт грубо говоря).
а остальное нафиг все посечь.
оставить только RDP для нескольких заданных диаппазонов IP (что б я мог с рабочего и домашнего компа подрубаться по RDP)
сейчас я так понимаю по RDP можно с любого IP подключаться.

HFS это сосбно вебсервер который у меня раздает файло в браузеры.
WebDrive это WebDAW софтина. я ее тоже знаю. остальное не знаю. хром какие то входящие зачем то разрешил козлина.