chrissek
Goto Top

SBS 2003 - IIS in Abständen immer wieder weg. Neustart der Dienste hilft nicht. Nur Neustart des Servers hilft. Ratlosigkeit!

Hallo Mit-Problem-Bekämpfer. Ich habe ein seltsames Phänomen bei einem Kunden und wäre hoch-dankbar, wenn Ihr mir helfen könnt, dass zu lösen.

Also.

Alles ist gut, bis auf einen Umstand:

Verschiedene Mitarbeiter haben den Mail-Account auch auf ihren IPhones installiert und synchronisieren regelmäßig.
Jetzt bekomme ich hier fast jeden Tag den Anruf, dass die Mails nicht mehr abzurufen sind.

Und es stimmt, auf OWA ist dann nicht mehr zuzugreifen und alle IIS-Sites sind nicht mehr zu erreichen (Intranet). Der Neustart des IIS und auch der separate Neustart aller Dienste hilft nicht. Die Sites (auch companyweb) bleiben unerreichbar. Eine Meldung vom IIS (z.B. 403) wird ebenfalls nicht ausgelöst. Er ist einfach nicht mehr anzusprechen, auch wenn sein Zustand nach Neustart der Dienste normal aussieht. Auch die Rücksicherung des IIS (über den rechten Mausklick) hilft nicht.

In der Ereignisanzeige werden keine Fehler protokoliert, so dass ich noch nicht einmal sehen kann, ab wann der IIS nicht mehr funktioniert.

Das Einzige, was hilft, ist der Neustart des Servers. Was die User immer wieder jubeln lässt (verständlicher Weise).

Also....... habt Ihr eine Idee, was da passiert?

Danke für die Hilfe vorab.

Umgebung:

SBS 2003 R2 - auf dem aktuellen Stand der Updates

Software auf dem Server:

Trend Micro Server
Backup Exec 12
XPhone - (CTI-Lösung für Siemens-Anlage)

Content-Key: 134450

Url: https://administrator.de/contentid/134450

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: datasearch
datasearch 27.01.2010 um 10:44:49 Uhr
Goto Top
Hallo,

was steht den in den HTTP Logfiles wenn der Server mal wieder abstürzt? Ist das System direkt und ohne Reverse-Proxy aus dem Internet erreichbar? Welche Web-Anwendungen laufen noch auf dem Server und haben diese getrennte "virtuelle Hosts" oder läuft alles auf dem DefaultServer?

Warum ich danach frage? Es gibt Exploits für bestimmte Default-Dienste, die auf dem IIS laufen. So etwas taucht aber in den HTTP-Logs unter %SYSTEMROOT%\system32\LogFiles auf.

Eventuell solltest du das hier auch mal lesen.
Mitglied: chrissek
chrissek 27.01.2010 um 11:54:57 Uhr
Goto Top
Hallo datasearch,

danke für die schnelle Reaktion.

Server ist direkt und ohne Proxy erreichbar.

Im HTTP-Log schauts so aus - Auszug:

2010-01-26 09:30:54 77.178.8.245 54111 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 09:32:39 192.168.0.144 3402 192.168.0.1 80 - - - - - Timer_ConnectionIdle -
2010-01-26 09:32:39 192.168.0.126 3826 192.168.0.1 80 - - - - - Timer_ConnectionIdle -
2010-01-26 09:32:49 192.168.0.111 1537 192.168.0.1 80 - - - - - Timer_ConnectionIdle -
2010-01-26 10:31:19 - - - - - - - - - 1_Connections_Refused -
2010-01-26 10:31:24 - - - - - - - - - 1_Connections_Refused -
2010-01-26 10:31:54 - - - - - - - - - 2_Connections_Refused -
2010-01-26 10:31:59 - - - - - - - - - 1_Connections_Refused -
2010-01-26 10:32:04 - - - - - - - - - 3_Connections_Refused -
2010-01-26 10:32:09 - - - - - - - - - 2_Connections_Refused -
2010-01-26 10:32:24 - - - - - - - - - 1_Connections_Refused -
2010-01-26 10:35:09 - - - - - - - - - 33_Connections_Refused -
2010-01-26 10:37:09 - - - - - - - - - 1_Connections_Refused -
2010-01-26 10:37:14 - - - - - - - - - 1_Connections_Refused -
2010-01-26 10:37:19 - - - - - - - - - 1_Connections_Refused -
2010-01-26 10:37:24 - - - - - - - - - 1_Connections_Refused -
2010-01-26 10:39:04 - - - - - - - - - 1_Connections_Refused -
2010-01-26 10:41:44 - - - - - - - - - 2_Connections_Refused -
2010-01-26 10:41:59 80.187.100.108 20791 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 17:34:14 192.168.0.1 43413 192.168.0.1 8059 HTTP/1.1 GET /SMB/cgi/cgiOnClose.exe?UID=818ba92c%2D55b2%2D464c%2D8e86%2D5c759b93f44c&GroupConfigType=450&AUTH=6207c2aaacb9373d842795af5ed27cf6 503 6 N/A DefaultAppPool
2010-01-26 17:34:20 192.168.0.1 43462 192.168.0.1 8059 HTTP/1.1 POST /officescan/cgi/cgiOnClose.exe 503 6 N/A DefaultAppPool
2010-01-26 17:34:20 192.168.0.1 43463 192.168.0.1 8059 HTTP/1.1 POST /officescan/cgi/cgiOnClose.exe 503 6 N/A DefaultAppPool
#Software: Microsoft HTTP API 1.0
#Version: 1.0
#Date: 2010-01-26 17:52:46
#Fields: date time c-ip c-port s-ip s-port cs-version cs-method cs-uri sc-status s-siteid s-reason s-queuename
2010-01-26 17:52:46 203.74.210.129 38412 192.168.0.1 80 HTTP/1.1 CONNECT ms1.hinet.net:25 400 - URL -
2010-01-26 18:10:08 202.81.251.249 47791 192.168.0.1 80 HTTP/1.0 CONNECT 10.150.10.10:25 400 - BadRequest -
2010-01-26 18:10:20 202.81.251.249 47794 192.168.0.1 80 HTTP/1.0 POST / 400 - BadRequest -
2010-01-26 18:20:57 80.187.100.116 54988 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 18:32:07 80.187.100.108 23978 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 18:48:07 80.187.99.57 47001 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 19:00:22 80.187.100.108 49618 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 19:14:07 80.187.99.57 58754 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 19:14:57 80.187.100.108 5723 192.168.0.1 443 - - - - - Timer_MinBytesPerSecond -
2010-01-26 19:15:26 80.187.100.108 9258 192.168.0.1 443 - - - - - Timer_MinBytesPerSecond -
2010-01-26 19:26:32 80.187.99.57 14986 192.168.0.1 443 - - - - - Timer_MinBytesPerSecond -
2010-01-26 19:31:02 80.187.99.57 7797 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 19:58:52 80.187.99.57 33442 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 20:10:36 80.187.99.57 1057 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 20:12:22 80.187.99.41 38458 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 20:40:47 80.187.99.57 5156 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 20:53:37 80.187.99.57 45238 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 21:24:32 80.187.100.108 26229 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 21:40:07 77.178.140.18 54347 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 23:00:47 77.178.140.18 54351 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 23:38:47 193.239.68.6 57679 192.168.0.1 80 - - - - - Timer_MinBytesPerSecond -
2010-01-26 23:42:02 77.178.140.18 54357 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 23:49:12 80.187.100.108 38566 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 23:58:52 80.187.99.57 39404 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 23:59:50 203.74.210.129 48532 192.168.0.1 80 HTTP/1.1 CONNECT ms1.hinet.net:25 400 - URL -
2010-01-27 00:11:52 80.187.99.57 26327 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 00:22:27 77.178.140.18 54359 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 00:22:27 77.178.140.18 54360 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 00:59:06 202.81.251.249 11745 192.168.0.1 80 HTTP/1.0 CONNECT 10.150.10.10:25 400 - BadRequest -
2010-01-27 00:59:19 202.81.251.249 11748 192.168.0.1 80 HTTP/1.0 POST / 400 - BadRequest -
2010-01-27 01:02:47 77.178.140.18 54363 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 01:37:32 80.187.99.57 13099 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 01:43:07 77.178.140.18 54365 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 01:43:07 77.178.140.18 54366 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 02:09:22 80.187.100.108 58276 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 02:23:32 77.178.140.18 54369 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 03:03:52 77.183.174.253 54371 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 03:03:52 77.183.174.253 54372 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 03:44:07 77.183.174.253 54375 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 03:58:12 80.187.99.57 24485 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 04:00:00 125.224.201.33 2434 192.168.0.1 80 HTTP/0.0 Invalid - 400 - Verb -
2010-01-27 04:00:00 125.224.201.33 2911 192.168.0.1 80 HTTP/1.1 CONNECT 203.188.201.253:25 400 - URL -
2010-01-27 04:24:22 77.183.174.253 54377 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 04:24:22 77.183.174.253 54378 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 05:04:47 77.183.174.253 54381 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 05:40:12 77.183.174.253 54393 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 06:20:27 77.183.174.253 54396 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 06:20:27 77.183.174.253 54395 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 06:26:17 80.187.99.57 28744 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 06:54:47 80.187.100.108 30627 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 07:00:47 77.183.174.253 54399 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 07:32:47 192.168.0.144 1348 192.168.0.1 80 - - - - - Timer_ConnectionIdle -
2010-01-27 07:33:12 192.168.0.144 1386 192.168.0.1 80 - - - - - Timer_ConnectionIdle -
2010-01-27 07:37:57 192.168.0.126 1486 192.168.0.1 80 - - - - - Timer_ConnectionIdle -
2010-01-27 07:40:07 192.168.0.111 1313 192.168.0.1 80 - - - - - Timer_ConnectionIdle -
2010-01-27 07:41:17 77.183.174.253 54401 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 07:41:22 77.183.174.253 54402 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 07:41:57 192.168.0.126 1694 192.168.0.1 80 - - - - - Timer_ConnectionIdle -
2010-01-27 07:47:15 202.81.251.249 14672 192.168.0.1 80 HTTP/1.0 CONNECT 10.150.10.10:25 400 - BadRequest -
2010-01-27 07:47:28 202.81.251.249 14679 192.168.0.1 80 HTTP/1.0 POST / 400 - BadRequest -
2010-01-27 07:48:52 192.168.0.132 1158 192.168.0.1 80 - - - - - Timer_ConnectionIdle -
2010-01-27 08:19:18 80.187.100.108 4921 192.168.0.1 443 - - - - - Timer_MinBytesPerSecond -
2010-01-27 08:27:38 77.183.174.253 54405 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 09:11:43 80.187.101.49 42743 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 09:32:53 192.168.0.144 4447 192.168.0.1 80 - - - - - Timer_ConnectionIdle -
2010-01-27 09:32:58 192.168.0.111 1816 192.168.0.1 80 - - - - - Timer_ConnectionIdle -
2010-01-27 09:33:03 192.168.0.126 4615 192.168.0.1 80 - - - - - Timer_ConnectionIdle -
2010-01-27 09:55:53 80.187.100.32 3147 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 09:55:53 80.187.100.32 3359 192.168.0.1 443 - - - - - Timer_ConnectionIdle -

IIS sieht so aus:

Anwendungspools -
DefaultsAppPool
ExchangeApp...
ExchMobileBrows....
MSSharPointAppPool
StsAdminAppPool
VMware Management Pool
Websites
Standardwebsite
VMware Management Interface
Companyweb
OfficeScan
SMEX Web Site
Mitglied: datasearch
datasearch 27.01.2010 um 16:35:10 Uhr
Goto Top
Die Einträge sind bedenklich:
date time c-ip c-port s-ip s-port cs-version cs-method cs-uri sc-status s-siteid s-reason s-queuename
2010-01-26 17:52:46 203.74.210.129 38412 192.168.0.1 80 HTTP/1.1 CONNECT ms1.hinet.net:25 400 - URL -
2010-01-26 18:10:08 202.81.251.249 47791 192.168.0.1 80 HTTP/1.0 CONNECT 10.150.10.10:25 400 - BadRequest -
2010-01-26 18:10:20 202.81.251.249 47794 192.168.0.1 80 HTTP/1.0 POST / 400 - BadRequest - - -
2010-01-26 23:59:50 203.74.210.129 48532 192.168.0.1 80 HTTP/1.1 CONNECT ms1.hinet.net:25 400 - URL -


Das ganze kommt von:

inetnum:      202.81.224.0 - 202.81.255.255
netname:      NETFRONT-HK
descr:        Netfront Information Technology Limited,
descr:        Internet Service Provider, Hongkong
country:      HK
admin-c:      LY103-AP
tech-c:       LY103-AP
status:       ALLOCATED PORTABLE
changed:      hm-change@apnic.net 20020906
mnt-by:       APNIC-HM
mnt-lower:    MAINT-NETFRONT-AP
source:       APNIC

und sollte auf jeden Fall geprüft werden. Es wird versucht, deinen Server dazu zu überreden, sich mit anderen Servern zu Port 25 zu verbinden (HTTP-Connect). Sollte dies erfolgreich sein, können Angreifer über deinen IIS EMails verschicken. Prüfe bitte ganz genau deine Logfiles.


Man kann nun vermuten, das der AppPool bei diesen "angriffen" abstürzt oder bereits etwas auf dem Server läuft. Bedarf einer genaueren Prüfung. Schalte bitte sofort unverschlüsseltes HTTP ab und sage deinen Leuten, sie sollten nur noch über HTTPS auf den Server zugreifen. Auf Port443 scheinen die Angreifer es nicht abzusehen.
Mitglied: chrissek
chrissek 01.02.2010 um 15:27:33 Uhr
Goto Top
Hallo und Danke für die Interpretation des Logs, ich werde Deine Ratschläge gern übernehmen. HTTPS-als Standard einzuführen steht eh auf meiner To-Do-Liste, dann muss ich das forcieren und die Externen mal zum Besuch in der Zentrale einladen.

Trotzdem erklärt das vielleicht den Absturz der Apps, leider jedoch nicht das Phänomen, dass ich weder durch - Rücksicherung des IIS, Neustart der IIS-Dienste und Anderem und verschiedener Kombinationen aller Dinge, den IIS nicht mehr auf die Füße kriege.....

Wirklich nur ein Neustart des Systems lässt den IIS sich wieder beleben...... und jetzt verate mir mal einer, welche Funktionaliät dahinter steckt.......?! Ich sehe keinen Ansatz (mehr)....

Irgend eine Idee?
Mitglied: datasearch
datasearch 01.02.2010 um 21:25:27 Uhr
Goto Top
Was genau dieses Verhalten verursacht wirst du warscheinlich nur mit einem Debugger herausfinden. Einer der IIS relevanten Prozesse bleibt auf eine Art hängen, das der Neustart des IIS keine Besserung bringt. Es reicht ja schon, wenn eine vom IIS verwendete DLL, die bei Dienstneustart nicht entladen wird im Speicher manipuliert wurde und irgend ein Funktionsaufruf nicht mehr das macht was er soll. Primärziel ist hier immer der AppPool. Du kannst versuchen deine Erweiterungen auf ein Minimum zu begrenzen und mehrere AppPools für verschiedene Anwendungen einrichten. Zudem solltest du alle Ordner, die nicht unbedingt von extern benötigt werden so sperren, dass der Zugriff per IP-Beschränkung nur noch von Intern möglich ist.