3PCs, synchron Reboot, gleiches Fehlerbild

Internet Internet Sicherheit
#1

Seit 2 Tagen stürzen bei uns beide Windows 2003 Standart Server gleichzeitig mit gleichem Fehlerbild ab. Hinzu kam heut ein Windows XP Professional, welches sich zusammen mit den Servern gleichzeitig mit entsprechendem Fehlerbild verabschiedete.
Dieses sieht wie folgt aus (laut Ereignisanzeige):

  1. Fehlgeschlagene Anwendung svchost.exe, Version 5.2.3790.0, fehlgeschlagenes Modul rpcss.dll, Version 5.2.3790.0, …
    Ereigniskennung: 1000

  2. Das COM±Ereignissystem hat einen ungültigen Rückgabecode während der internen Verarbeitung erkannt. HRESULT war 800706BA von Zeile 44 von d:\srv03rtm\com\complus\src\events\tier1\eventsystemobj.cpp.
    EReigniskennung: 4609

Möcht nicht gleich von 'nem Virus o.ä. ausgehen, schließe dieses aber nicht aus…

#2

Da Drei PC’s Relativ Zeitgleich mit dem gleichen Problem daher kommen.
kann würde ich auf einen virus angriff tippen. eventuell auch ein Deny of Service attacke.

da rpcss ja ein remote service ist und somit aus dem netzwerk erreichbar ist.
währe es auch denkbar das problem gar nicht direct an den rechnern beheimatet ist die diese problem aufweisen.
hier noch mal etwas info über rpcss
http://www.processlibrary.com/directory/files/rpcss/

es könnte natürlich auch an einer software veränderung der betroffenen
maschinen liegen. z.B ein Patch der au diesen systemen zu fehlern führt.
oder sonstige neu installierte software.

das sind nun aber eher vermutungen ins blaue… und mann müsste der sache mal
in ruhe nach gehen. ganz systematisch.

ich glaube ich würde ersmal dafür sorten das
die maschinen per windows-update auf dem aktuellsten stand sind.
und dann natürlich noch einen vollständigen vierenscan mit einem aktuellen
vieren scanner.

wenn das nix ergibt. würde ich mir die im hintergrund laufenden processe ansehen.

und gucken ob da igend etwas läuft was nicht laufen sollte möglicher weise
ein trojaner der dem viren scan entgangen ist.

wenn das alles ergebnis los ist. müste man eventuell das gesamte netzwerk unter die lupe nehmen ob ein remote angriff die rechner trifft.

ich hoffe du findest die ursache des problem.
gruss chris

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#3

d:\srv03rtm\com\complus\src\events\tier1\eventsystemobj.cpp.

Kannst du feststellen, zu welcher Anwendung diese Datei gehört, wann diese Anwendung installiert wurde und zu welchem Zweck?

Anschliessend solltest du deine Frage an den Hersteller dieser Anwendung richten.

Gruss
gh

#4

Mahlzeit,

Seit 2 Tagen stürzen bei uns beide Windows 2003 Standart
Server gleichzeitig mit gleichem Fehlerbild ab.

  1. Fehlgeschlagene Anwendung svchost.exe, Version 5.2.3790.0,
    fehlgeschlagenes Modul rpcss.dll, Version 5.2.3790.0, …
    Ereigniskennung: 1000

ich weiß nicht, ob das zu naheliegend ist, aber hast du alle Updates und Patches auf den Maschinen am laufen? Der Blaster-Wurm griff Systeme über eine Sicherheitslücke an, und wenn du dein System nicht gepatcht hast, lönnte es doch sein, daß sich irgendwo im Netzwerk vor zwei Tagen ein System infiziert haben könnte:

http://de.trendmicro-europe.com/enterprise/vinfo/enc…

Update für XP:
http://www.microsoft.com/downloads/details.aspx?fami…

Update für Win2k:
http://www.microsoft.com/downloads/details.aspx?disp…

Zwar ist das Ganze ein bißchen älter, aber fragen kann man ja…

Gruß

Sancho

#5

Hallo Karsten

  1. Das COM±Ereignissystem hat einen ungültigen Rückgabecode
    während der internen Verarbeitung erkannt. HRESULT war
    800706BA von Zeile 44 von
    d:\srv03rtm\com\complus\src\events\tier1\eventsystemobj.cpp.
    EReigniskennung: 4609

Und hast diese Datei schon mal auf deinen drei Servern gesucht und mit einem Notebad oder einem anderen Editor angesehen? Eine .cpp kann keinen ausführbaren Code enthalten! Selbst wenn es so wäre, der Aufruf einer Datei mit diesen Extension erzeugt höchstens einen Aufruf eines damit verknüpften Programmes. Deine Suche müsste sich also auf einen C+±Compiler in eurem Haus konzentrieren.

Ich gehe eher davon aus, das dieser C+±Sourcecode in eurem Haus erzeugt und mit Debuggerinfos compilert wurde. Wie könnte sonst ein HRESULT auf die Zeile 44 entstanden sein?

Eine Ausnahme lasse ich noch gelten: Ein erfolgreicher Ddos-Angriff auf eure Server und es wurde euch im Ergebnis eine defekte und unausgekochte „BÖSE“ Software installiert. Wenn es so sein sollte, dann gilt http://de.wikipedia.org/wiki/Kompromittierung

Eine bessere Diskussionsplattform für Fehler solcher Art dürfte allerdings die öffentliche Newsgroup de.comp.security.misc sein. Wie du dahin gelangst, kannst du hier nachlesen: http://www.hinterwaeldlers-home.de/NewsGroups/newsgr…

der hinterwäldler

#6

Jup! ich habe bereits gestern diesen naheliegenden schritt versucht zu gehen - aber schon der blick auf D:\ brachte die ernüchternde erkenntnis, dass es diesen Pfad schon mal nicht gibt.
statt dessen stiß ich auf meinen recherchen auf exakt das gleiche fehlerbild, wie in unserer firma. als lösung wurde scannen mit dem MS-Tool „DCOM-KB827363-X86-DEU.exe“ (PCs suchen, bei denen sicherheitslücke besteht) und im fall des vorhandensein betrofener PCs installation des updates „WindowsServer2003-KB824146-x86-DEU.exe“. wird jetzt durchgeführt und dann mal hoffen ;o)
dieser dienst (rpc) ist ja von aussen erreichbar - also möglich ist, das die bedrohung (wenn es eine gibt…) nur im LAN, nicht zwangsweise lokal auf dem Server ist *hoff…
aber geh ich mal vom schlimmsten fall auf und suche in alle richtungen weiter.

ich bin weiterhin für alle vorschläge offen!

#7

Und hast diese Datei schon mal auf deinen drei Servern gesucht
und mit einem Notebad oder einem anderen Editor angesehen?
Eine .cpp kann keinen ausführbaren Code enthalten! Selbst wenn
es so wäre, der Aufruf einer Datei mit diesen Extension
erzeugt höchstens einen Aufruf eines damit verknüpften
Programmes. Deine Suche müsste sich also auf einen
C+±Compiler in eurem Haus konzentrieren.

Wenn ich mich an meine Zeiten als C+±Entwickler richtig erinnere, muss diese Fehlermeldung nicht auf eine Datei auf dem System referenzieren, auf dem die spätere Anwendung läuft. Wenn die Debug-Informationen nicht aus dem ausgelieferten Programm gestrippt wurden, können derartige Meldungen auch auf die Umgebung verweisen, in der das Programm ursprünglich übersetzt wurde.

Die einzige möglicherweise brauchbare Information aus der Fehlermeldung wäre in dem Fall der Verzeichnisname …\complus…

Gruss
Schorsch

#8

Die einzige möglicherweise brauchbare Information aus der
Fehlermeldung wäre in dem Fall der Verzeichnisname
…\complus…

Stimmt.

der hinterwäldler