Toon posts:

[2KSVR] IWAM , IUSR account out of sync

Pagina: 1
Acties:

donderdag 10 juli 2003 11:15

Acties:

Verwijderd

Topicstarter
Ik heb dit probleem nu gehad op 2 servers, een paar dagen na elkaar.

wat er gebeurd:

De machine crasht/reboot, in de eventlog staat ook

'The previous shutdown whas unexpected'
Dat is zowiezo al bizar want die 2 machines draaien normaal gesproken als een rots.

Maar wat daarna gebeurde, de IWAM en IUSR accounts waren eruit gelocked. wat dus inhoud dat ergens (metabase, component services of de SAM) de passwords niet meer gelijk waren voor die accounts.

die accounts mochten dus niet meer inloggen, en geen enkele website deed het dus niet meer.

Ik heb dit opgelost door http://support.microsoft....?scid=kb%3Ben-us%3B297989 te volgen, de wachtwoorden voor alle 3 de omgevingen de te veranderen en syncen. nu doen ze het weer.


Ik vind dit erg raar, vooral omdat het op 2 machines is gebeurd vlak na elkaar, met exact hetzelfde probleem. misschien een geslaagde hackpoging?


Hier meer info over de machines:

Dell 19" servers
Windows 2000 AS, SP2. zo'n beetje alle updates sindsdien
hangen aan het internet achter een firewall. alles zit potdicht, behalve 80 en 21
Geen domein. geen netbios, geen workgroup.

[ Voor 22% gewijzigd door Verwijderd op 11-07-2003 11:16 ]

donderdag 10 juli 2003 13:43

Acties:
  • Dromer
  • Registratie: Juni 2000
  • Laatst online: 23:12

Dromer

Ik zat eigelijk gelijk aan hack te denken ja.
Waren er mischien nog nieuwe acccounts bijgekomen ?

donderdag 10 juli 2003 15:44

Acties:

Verwijderd

Topicstarter
Nee geen nieuwe accounts.

Een van de dingen die me het meest waarschijnlijk lijkt is dat iemand op een manier, die ik echt niet zou weten, heeft lopen rommelen met de SAM, registry en/of veel meer dingen. die machine's zijn namelijk ingesteld dat ze onmiddelijk uitgaan (BSOD) als de security niet meer geaudit kan worden.

Maar hoe? ja.. het is voor 99% godsonmogelijk om 'binnen' die machines te komen als je geen admin passwords weet.

[ Voor 19% gewijzigd door Verwijderd op 10-07-2003 15:45 ]

donderdag 10 juli 2003 15:52

Acties:
  • Koffie
  • Registratie: Augustus 2000
  • Laatst online: 23:19

Koffie

Koffiebierbrouwer

Braaimeneer

'The previous shutdown whas unexpected'
Dat is windows eigen alstie recoverd van een BSOD hoor ;)
Anyway .. zonder verdere info kunnen wij echt niet gokken waarom jouw servers plat gingen.
Kijk eens in de eventvwr, worden er dumps gemaakt van BSOD 's ?

Tijd voor een nieuwe sig..

donderdag 10 juli 2003 16:07

Acties:
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 26-04 10:22

Kabouterplop01

chown -R me base:all

HEb je IDE schijven met write cahe behind enable op de servers.?

donderdag 10 juli 2003 17:43

Acties:

Verwijderd

Topicstarter
D'r is ook verder weinig info. security logs voor de crash bevatten niks raars, system logs ook niet. en ja, ik weet dat na een BSOD windows 'The previous blabla'...

D'r zitten helemaal geen IDE schijven in, alleen SCSI.

vrijdag 11 juli 2003 09:58

Acties:
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 26-04 10:22

Kabouterplop01

chown -R me base:all

K, Welk OS NT/W2K/2003? heb je een Domein? Kun je wat meer inf. geven?

vrijdag 11 juli 2003 14:17

Acties:

Verwijderd

Verwijderd schreef op 10 July 2003 @ 11:15:
Dell 19" servers
Windows 2000 AS, SP2. zo'n beetje alle updates sindsdien
hangen aan het internet achter een firewall. alles zit potdicht, behalve 80 en 21
Geen domein. geen netbios, geen workgroup.
sp2 kan niet alle updates voor iis installen, de laatste patch voor iis moet je sp3 draaien!!!

vrijdag 11 juli 2003 15:10

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op 11 juli 2003 @ 14:17:
[...]


sp2 kan niet alle updates voor iis installen, de laatste patch voor iis moet je sp3 draaien!!!
Bedankt voor de info. maar daar gaat het ff niet over

trouwens de reden dat ik geen SP3 draai is omdat ze er gigantisch onstabiel van werden, componenten die memleaks kregen(!), het belachelijk vaak auto-restarten van de w3svc, etc. etc. erg snel er weer afgehaald. weird but true.

[ Voor 12% gewijzigd door Verwijderd op 11-07-2003 15:12 ]

vrijdag 11 juli 2003 16:33

Acties:

Verwijderd

niet? volgens mij kan je dan door ieder scriptkiddie wel gehackt worden...

vrijdag 11 juli 2003 16:37

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

je kan op zijn minst sp4 installeren, en dan wel een backup maken (bestanden archiven) kijken of het helpt,

als het niet werkt, dan terug (alhoewel niet aan te raden, zoals iis5_rulez al zegt)

A wise man's life is based around fuck you

vrijdag 11 juli 2003 18:48

Acties:
  • axis
  • Registratie: Juni 2000
  • Laatst online: 26-01-2023

axis

Wij hebben in ons datacentre ook nog SP2 draaien.. wel met de nieuwste IIS rollups, maar goed.. Kan het niet riskeren dat er een server down instabiel wordt door een SP.. Houd trouwens ook wel de security baseline analyzer bij, die vindt ook niet spannends.

Bij een oude NT webserver ook wel eens gehad dat SP5 hem de soep in draaide.. Ik heb er meteen van geleerd..

Heb je trouwens ook al in de logfiles van IIS gekeken? Je weet ongeveer rond welk tijdstip het gebeurde. Of laat je die sites niet loggen?

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

Pagina: 1
Reageer