Время прочтения
3 мин
Просмотры 13K
Статья написана для того чтобы потомки не наступали на грабли на которые наступил я.
Если на вашем сервере/локальном компьютере перестало открываться сетевое окружение с ошибкой «Ни одна из служб доступа к сети не может обработать сетевой путь» добро пожаловать
Симптомы:
В общем в один прекрасный день мне позвонил пользователь и сказал что не может по самбе законектиться на основной сервер (естественно он сказал не так, но суть передана) Я попробовал со своего компьютера набрать \server (имя изменено для удобства понимания) и получил ошибку. хотя сервер прекрасно пинговался и все нужные порты были открыты. После перезагрузки сервера (а это как известно полный ахтунг посреди рабочего дня) сервер проработал около часа и ошибка повторилась. На самом сервере при попытке пойти по сети на любой компьютер \user получали ошибку «Ни одна из служб доступа к сети не может обработать сетевой путь»
Анамнез
Как было сказано ранее порт 445 был открыт. Ошибка «Ни одна из служб» подтолкнуло на мысль что проблема в службах 
Итак лезем в службы и на вскидку видим следующее: службы сервер, рабочая станция, обозреватель компьютеров упали. Запускаем — работает, минут через 10-15 снова падает. В логах приложений видим ошибку
«Ошибка приложения svchost.exe, версия 5.2.3790.3959, модуль kernel32.dll, версия 5.2.3790.3959, адрес 0x0006beb8.»
Сразу после которой падают службы
Дифференциальный диагноз 1
Гуглим…
Приходим к однозначному выводу что причиной всему некоторый вирус kido, который атакует компы сети по 445 порту, приводя к ошибке buffer-overflow. Решение — запуск kk.exe на всех компьютерах сети. kk.exe — програмка для лечения вируса kido от касперских. Сам антивирус касперского не переношу на дух, хотя проверку провел — сам касперский угроз не обнаружил, а kk.exe — нашел и по всей видимости полечил.
Лечение
Пройдя по всем компьютерам сети и запустив kk обнаружили и почистили много этой вирусни. Кроме того дабы обезопасить только что зараженные компьютеры запустили kk в режиме мониторинга «kk -m» и добавили в автозагрузку. После всех этих манипуляций вздохнули свободно, хотели отдохнуть, но не тут то было. Сервисы стали падать не так часто. Но от этого легче не стало! Кстати временное решение проблемы — зайти в свойства одного из сервисов и установить «перезапускать сервер» во всех полях закладки восстановления. Сервисы хоть и падают, но почти сразу восстанавливаются.
Дифференциальный диагноз 2
Итак стал думать почему сервисы падают пачками. И что объединяет эти сервисы. ответ оказался прост — один из svchost.exe запускал все эти сервисы. Вот полный список:
• Обозреватель компьютеров (!)
• Службы криптографии
• Диспетчер логических дисков
• Служба событий COM+
• Справка и поддержка
• Сервер (!)
• Рабочая станция (!)
• Сетевые подключения (!)
• Служба сетевого расположения
• Планировщик заданий (!)
• Вторичный вход в систему
• Уведомление о системных событиях
• Определение оборудования оболочки
• Клиент отслеживания изменившихся связей
• Инструментарий управления windows
• Автоматическое обновление
• Беспроводная настройка
В общем мысль пошла далее. Раз вирусов на сервере больше нет, значит вирус все еще есть на каких либо компьютерах сети. И он продолжает атаковать сервер. Но почему сервер от этого падает? Значит есть какаято дыра. А если есть дыра — значит должна быть заплатка. С горем пополам нашел такую заплатку для WinXP — KB958644
А уж имея название заплатки для Win2003 нашел заплатку без проблем.
Лечение часть 2
поставил заплатки на сервер и все компьютеры сети. вместо ошибки
«Ошибка приложения svchost.exe, версия 5.2.3790.3959, модуль kernel32.dll, версия 5.2.3790.3959, адрес 0x0006beb8.»
стало появляться предупреждение
«Отчет об ошибке постановки в очередь: ошибка приложения svchost.exe, версия 5.2.3790.3959, модуль kernel32.dll, версия 5.2.3790.3959, адрес 0x0006beb8.»
Итог
В принципе проблема решена, можно выписывать. Но (!) Раз атаки продолжаются значит вирус еще где то действует. Вот об этом хотелось бы спросить хабрасообщество — как выявить зараженный в сети компьютер?
Логично предположить что нужно слушать 445 порт — кто лезет, тому и по рогам. Но ведь на сервере пошарено много всего, люди лезутредактируютсоздаютсохранаютсмотрют… Как нормальный траф 445 порта отделить от вредоносного?
В комментариях жду советов, и надеюсь что в будущем моя статья поможет кому либо побыстрее разобраться с этой проблемой.
ЗЫЖ автоматическое обновление стояло, 2003 был обновлен — почему то эта заплатка не качается со всеми вместе.
- Remove From My Forums
-
Вопрос
-
Здравствуйте,
Словили вирус на сервере. Вирус был удален антивирусной программой но после него не можем войти на сервер по сети. Сервер является контроллером домена и файловым сервером по совместительству.
Войти на сервер по протоколу RDP, локально — можно.
Что пробовал:
1. Переустанавливать роль файлового сервера.
2. Рекомендации из статьи https://support.microsoft.com/ru-kz/help/842715/overview-of-problems-that-may-occur-when-administrative-shares-are-missing
3. Сканирование другими антивирусами.
4. Само собой доступ по ip, имени. Отключение/задание исключений для встроенного брандмауэра ОС.
Прошу помочь! Спасибо.
-
Изменено
9 июня 2017 г. 13:13
-
Изменено
Ответы
-
M.V.V._, спасибо за совет, помогло.
Дело действительно было в настройках политик безопасности. По ходу вредоносная программа изменила настройки.
Описываю схему устранения (может кому пригодится):
1) В командной строке от имени администратора набираем команду:
netsh winsock reset
После выполняем перезагрузку. Этим мы сбросим стек Winsock в дефолтное состояние.
2) Пуск — выполнить: mmc.exe — добавляем оснастку «Управление политикой безопасности IP». При запросе системы выбираем зону действия «Локальный компьютер».
3) В добавленной оснастке выбираем политику Win, фильтр IP «DenyList» и выбираем действие фильтра «Разрешить» — ОК.
https://hostingkartinok.com/show-image.php?id=ed159a77f6468ce84cfa2b56d426de6b
После этого сервер смог пустить к себе по сети.
-
Помечено в качестве ответа
Станислав1302
9 июня 2017 г. 13:26
-
Помечено в качестве ответа
-
Можно проверить на всякий случай политики IPSec: запустите mmc.exe, добавьте в неё оснастку «Монитор IP-безопасности» и посмотрит там, не назначена ли политика и не настроены ли фильтры.
Слава России!
-
Помечено в качестве ответа
Станислав1302
9 июня 2017 г. 13:25
-
Помечено в качестве ответа
Проблема
На компьютере под управлением Microsoft Windows 2000 Server или Microsoft Windows Server 2003 возможно возникновение проблем с подключением к сети, если сервер настроен следующим образом:
• служба маршрутизации и удаленного доступа разрешает входящие подключения;
• на сервере маршрутизации и удаленного доступа установлена и настроена служба DNS (Domain Name System) или WINS (Windows Internet Name Server).
После подключения к серверу маршрутизации и удаленного доступа с помощью удаленного подключения или подключения по виртуальной частной сети (VPN) периодически возникают следующие неполадки.
• Если на сервере маршрутизации и удаленного доступа установлен сервер Microsoft ISA (Internet Security and Acceleration) Server 2000, клиентские компьютеры из локальной сети не имеют возможности выхода в Интернет, независимо от того, используется прокси-сервер или программа Microsoft Firewall Client. Например, в окне веб-обозревателя появляется страница «Не удается отобразить страницу» с сообщением «Не удается найти сервер или ошибка DNS».
• Если на сервере маршрутизации и удаленного доступа установлен Microsoft ISA Server 2000, нажатие кнопки Update Now в диалоговом окне Firewall Client Options на клиентском компьютере приводит к появлению следующего сообщения об ошибке.
The server is not responding when client requests an update.
Possible causes:
-The server is not an ISA Server.
-The server is not an ISA Server.-The server is down.
• При попытке с помощью команды ping опросить сервер маршрутизации и удаленного доступа по имени NetBIOS или полному имени домена (FQDN) с локального компьютера команда отправляется на неправильный IP-адрес.
• Если сервер маршрутизации и удаленного доступа является основным обозревателем сети, не удается просмотреть список компьютеров в сетевом окружении.
• На компьютере Small Business Server 2000 не удается подключиться к узлу http://имя_сервера/myconsole.
• На сервере маршрутизации и удаленного доступа регистрируется следующее событие.
Код (ID): 4319
Источник: Netbt
Описание: В сети ТСР обнаружено повторяющееся имя. Адрес IP компьютера, пославшего сообщение, содержится в данных. Для того чтобы определить, для какого имени возникло конфликтное состояние, следует выполнить команду nbtstat -n.
• При попытке открыть общий файловый ресурс или подключить сетевой диск к серверу маршрутизации и удаленного доступа появляются сообщения об ошибке.
• Если сервер маршрутизации и удаленного доступа является контроллером домена, появляется сообщение об ошибке при попытке войти в сеть.
• Если сервер маршрутизации и удаленного доступа является контроллером домена, сообщения об ошибке появляются при попытке открыть общий файловый ресурс или подключить сетевой диск к любому общему ресурсу сети. Так, на компьютере под управлением Windows 2000 Professional или Windows XP Professional появляется следующее сообщение об ошибке:
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть
Как правило, такие неполадки возникают с сервером Small Business Server, поскольку часто он является единственным компьютером под управлением серверной операционной системы Windows в составе сети, однако они возможны на любом сервере маршрутизации и удаленного доступа под управлением Windows 2000 или Windows Server 2003, на котором запущена служба DNS или WINS.
Причина
Когда удаленный компьютер устанавливает соединение с сервером маршрутизации и удаленного доступа с помощью подключения удаленного доступа или подключения VPN, для поддержания связи сервер создает адаптер PPP (Point-to-Point Protocol). После этого сервер регистрирует IP-адрес адаптера РРР в базе данных DNS или WINS.
На локальном компьютере, который в процессе регистрации пытается подключиться к серверу маршрутизации и удаленного доступа, появляется сообщение об ошибке, поскольку сервер DNS или WINS возвращает ему вместо запрошенного IP-адреса сервера IP-адрес адаптера РРР. Попытка подключиться к IP-адресу адаптера РРР заканчивается неудачно, потому что локальный компьютер не имеет доступа к адаптеру РРР.
Решение
Внимание! Неправильное использование редактора реестра может привести к возникновению серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.
Чтобы решить проблему, необходимо запретить серверу маршрутизации и удаленного доступа регистрировать IP-адрес адаптера РРР в базе данных DNS или WINS. Для этого выполните следующие действия.
Настройка сервера маршрутизации и удаленного доступа на публикацию в базе DNS только IP-адреса локального сетевого адаптера
Рассмотренные в этом разделе действия следует выполнять только в том случае, если на сервере маршрутизации и удаленного доступа установлена служба DNS. Если это не так, воспользуйтесь инструкциями из раздела «Настройка сервера маршрутизации и удаленного доступа на регистрацию в базе WINS только IP-адреса локального сетевого адаптера»
Создание в системном реестре параметров PublishAddresses и RegisterDnsARecords для служб DNS и Netlogon
1. Выберите в меню Пуск пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
2. Найдите и выделите раздел
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters
3. В меню Правка выберите пункт Создать, а затем — Строковый параметр и введите следующие значения.
Название: PublishAddresses
Тип данных: REG_SZ
Значение: IP-адрес локального сетевого адаптера сервера. Для разделения нескольких адресов используйте запятые.
4. Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParameters
5. В меню Правка выберите пункт Создать, а затем — Параметр DWORD и введите следующие значения.
Название: RegisterDnsARecords
Тип данных: REG_DWORD
Значение: 0
6. Закройте редактор реестра и перезапустите службы DNS и Netlogon. Чтобы перезапустить службу, нажмите кнопку Пуск, выберите пункт Программы или Все программы, а затем — Администрирование и Службы. В диалоговом окне «Службы» щелкните правой кнопкой соответствующую службу и выберите команду Перезапустить.
Дополнительные сведения о параметрах PublishAddresses и RegisterDnsARecords см. в следующей статье базы знаний Майкрософт:
289735 IP-адрес службы маршрутизации и удаленного доступа регистрируется в базе данных DNS
Добавление в DNS записи типа А
Рассмотренные в этом разделе действия следует выполнять только в том случае, если сервер маршрутизации и удаленного доступа является контроллером домена.
1. Нажмите кнопку Пуск, выберите в меню Программы или Все программы пункт Администрирование, а затем — DNS.
2. В окне консоли DNS разверните объект сервера, затем папку Зоны прямого просмотра и выделите папку локального домена.
3. В меню Действие выберите команду Новый узел.
4. Введите в поле IP-адрес IP-адрес локального сетевого адаптера сервера.
5. Не заполняйте поле Имя, выберите вариант Создать соответствующую PTR-запись, и нажмите кнопку Добавить узел.
6. В ответ на запрос «имя_папки_верхнего_уровня не является допустимым именем узла. Хотите продолжить добавление записи?» нажмите кнопку Да.
Примечание. Если сервер является сервером глобального каталога, перейдите к выполнению действия 7. В противном случае пропустите действия 7-11. Чтобы проверить, размещен ли на сервере глобальный каталог, выполните следующие действия. a. Нажмите кнопку Пуск, выберите в меню Программы или Все программы пункт Администрирование, а затем — Active Directory — cайты и службы.
b. В окне консоли «Active Directory — cайты и службы» откройте папку Сайты, разверните узел, который содержит сервер, а затем — объект сервера.
c. Щелкните правой кнопкой мыши объект NTDS Settings и выберите пункт Свойства.
d. На вкладке Общие найдите флажок Глобальный каталог. Если он установлен, значит на сервере расположен глобальный каталог.
7. В окне консоли DNS откройте папку Зоны прямого просмотра, разверните папку локального домена, папку MSDCS, а затем выделите папку GC.
8. В меню Действие выберите команду Новый узел.
9. Введите в поле IP-адрес IP-адрес локального сетевого адаптера сервера.
10. Не заполняйте поле Имя, выберите вариант Создать соответствующую PTR-запись, и нажмите кнопку Добавить узел.
11. В ответ на запрос «(как папка верхнего уровня) не является допустимым именем узла. Хотите продолжить добавление записи?» нажмите кнопку Да.
Настройка сервера маршрутизации и удаленного доступа на регистрацию в базе WINS только IP-адреса локального сетевого адаптера
Рассмотренные в этом разделе действия следует выполнять только в том случае, если на сервере маршрутизации и удаленного доступа установлена служба WINS. Пропустите этот раздел, если на сервере установлен Small Business Server 2000 с пакетом обновления 1 (SP1), Small Business Server 2000 с пакетом обновления 1а (SP1а) или Windows Small Business Server 2003. Операционные системы этих версий по умолчанию не производят регистрации IP-адреса адаптера РРР в базе данных WINS.
Создание в системном реестре параметра DisableNetbiosOverTcpip для службы маршрутизации и удаленного доступа
Внимание! Чтобы параметр DisableNetbiosOverTcpip функционировал на компьютере под управлением Windows 2000 Server с пакетом обновления версии 2 (SP2) или ниже, необходимо установить пакет обновления 3 (SP3) или 4 (SP4). В противном случае служба маршрутизации и удаленного доступа не будет использовать параметр и проблема останется нерешенной.
Дополнительные сведения о получении последней версии пакета обновления для Windows 2000 Server см. в следующей статье базы знаний Майкрософт:
260910 Как получить последний пакет обновления для Windows 2000
1. Выберите в меню Пуск пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
2. Найдите и выделите раздел
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRemoteAccessParametersIP
3. В меню Правка выберите пункт Создать, а затем — Параметр DWORD и введите следующие значения.
Название: DisableNetbiosOverTcpip
Тип данных: REG_DWORD
Значение: 1
4. Закройте редактор реестра и перезапустите службу маршрутизации и удаленного доступа. Чтобы перезапустить службу, нажмите кнопку Пуск, выберите пункт Программы или Все программы, а затем — Администрирование и Службы. В диалоговом окне «Службы» щелкните правой кнопкой соответствующую службу и выберите команду Перезапустить.
Удаление записей в базе данных WINS
1. Нажмите кнопку Пуск, выберите в меню Программы или Все программы пункт Администрирование, а затем — WINS.
2. Разверните объект сервера, правой кнопкой мыши щелкните элемент Активные регистрации и выберите пункт Удалить владельца.
3. В диалоговом окне Удаление владельца выделите IP-адрес сервера.
4. Если сервер WINS не имеет партнеров по репликации, выберите вариант Удалить только с этого сервера и нажмите кнопку OК. В противном случае выберите вариант Реплицировать удаление на другие серверы и нажмите кнопку OК.
Сервер WINS автоматически реконструирует базу данных по мере регистрации компьютерами сети своих NetBIOS-имен. Чтобы принудительно провести регистрацию NetBIOS-имен компьютеров под управлением операционных систем Windows, запустите команду nbtstat -RR.
Источник:
microsoft.com
Взято с: networkdoc.ru
Оцените статью: Голосов