Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SBS 2003 - IIS in Abständen immer wieder weg. Neustart der Dienste hilft nicht. Nur Neustart des Servers hilft. Ratlosigkeit!

Frage Internet Server

Mitglied: chrissek

chrissek (Level 1) - Jetzt verbinden

27.01.2010 um 10:23 Uhr, 6569 Aufrufe, 5 Kommentare

Hallo Mit-Problem-Bekämpfer. Ich habe ein seltsames Phänomen bei einem Kunden und wäre hoch-dankbar, wenn Ihr mir helfen könnt, dass zu lösen.

Also.

Alles ist gut, bis auf einen Umstand:

Verschiedene Mitarbeiter haben den Mail-Account auch auf ihren IPhones installiert und synchronisieren regelmäßig.
Jetzt bekomme ich hier fast jeden Tag den Anruf, dass die Mails nicht mehr abzurufen sind.

Und es stimmt, auf OWA ist dann nicht mehr zuzugreifen und alle IIS-Sites sind nicht mehr zu erreichen (Intranet). Der Neustart des IIS und auch der separate Neustart aller Dienste hilft nicht. Die Sites (auch companyweb) bleiben unerreichbar. Eine Meldung vom IIS (z.B. 403) wird ebenfalls nicht ausgelöst. Er ist einfach nicht mehr anzusprechen, auch wenn sein Zustand nach Neustart der Dienste normal aussieht. Auch die Rücksicherung des IIS (über den rechten Mausklick) hilft nicht.

In der Ereignisanzeige werden keine Fehler protokoliert, so dass ich noch nicht einmal sehen kann, ab wann der IIS nicht mehr funktioniert.

Das Einzige, was hilft, ist der Neustart des Servers. Was die User immer wieder jubeln lässt (verständlicher Weise).

Also....... habt Ihr eine Idee, was da passiert?

Danke für die Hilfe vorab.

Umgebung:

SBS 2003 R2 - auf dem aktuellen Stand der Updates

Software auf dem Server:

Trend Micro Server
Backup Exec 12
XPhone - (CTI-Lösung für Siemens-Anlage)
Mitglied: datasearch
27.01.2010 um 10:44 Uhr
Hallo,

was steht den in den HTTP Logfiles wenn der Server mal wieder abstürzt? Ist das System direkt und ohne Reverse-Proxy aus dem Internet erreichbar? Welche Web-Anwendungen laufen noch auf dem Server und haben diese getrennte "virtuelle Hosts" oder läuft alles auf dem DefaultServer?

Warum ich danach frage? Es gibt Exploits für bestimmte Default-Dienste, die auf dem IIS laufen. So etwas taucht aber in den HTTP-Logs unter %SYSTEMROOT%\system32\LogFiles auf.

Eventuell solltest du das hier auch mal lesen.
Bitte warten ..
Mitglied: chrissek
27.01.2010 um 11:54 Uhr
Hallo datasearch,

danke für die schnelle Reaktion.

Server ist direkt und ohne Proxy erreichbar.

Im HTTP-Log schauts so aus - Auszug:

2010-01-26 09:30:54 77.178.8.245 54111 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 09:32:39 192.168.0.144 3402 192.168.0.1 80 - - - - - Timer_ConnectionIdle -
2010-01-26 09:32:39 192.168.0.126 3826 192.168.0.1 80 - - - - - Timer_ConnectionIdle -
2010-01-26 09:32:49 192.168.0.111 1537 192.168.0.1 80 - - - - - Timer_ConnectionIdle -
2010-01-26 10:31:19 - - - - - - - - - 1_Connections_Refused -
2010-01-26 10:31:24 - - - - - - - - - 1_Connections_Refused -
2010-01-26 10:31:54 - - - - - - - - - 2_Connections_Refused -
2010-01-26 10:31:59 - - - - - - - - - 1_Connections_Refused -
2010-01-26 10:32:04 - - - - - - - - - 3_Connections_Refused -
2010-01-26 10:32:09 - - - - - - - - - 2_Connections_Refused -
2010-01-26 10:32:24 - - - - - - - - - 1_Connections_Refused -
2010-01-26 10:35:09 - - - - - - - - - 33_Connections_Refused -
2010-01-26 10:37:09 - - - - - - - - - 1_Connections_Refused -
2010-01-26 10:37:14 - - - - - - - - - 1_Connections_Refused -
2010-01-26 10:37:19 - - - - - - - - - 1_Connections_Refused -
2010-01-26 10:37:24 - - - - - - - - - 1_Connections_Refused -
2010-01-26 10:39:04 - - - - - - - - - 1_Connections_Refused -
2010-01-26 10:41:44 - - - - - - - - - 2_Connections_Refused -
.....
......
....
2010-01-26 10:41:59 80.187.100.108 20791 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 17:34:14 192.168.0.1 43413 192.168.0.1 8059 HTTP/1.1 GET /SMB/cgi/cgiOnClose.exe?UID=818ba92c%2D55b2%2D464c%2D8e86%2D5c759b93f44c&GroupConfigType=450&AUTH=6207c2aaacb9373d842795af5ed27cf6 503 6 N/A DefaultAppPool
2010-01-26 17:34:20 192.168.0.1 43462 192.168.0.1 8059 HTTP/1.1 POST /officescan/cgi/cgiOnClose.exe 503 6 N/A DefaultAppPool
2010-01-26 17:34:20 192.168.0.1 43463 192.168.0.1 8059 HTTP/1.1 POST /officescan/cgi/cgiOnClose.exe 503 6 N/A DefaultAppPool
#Software: Microsoft HTTP API 1.0
#Version: 1.0
#Date: 2010-01-26 17:52:46
#Fields: date time c-ip c-port s-ip s-port cs-version cs-method cs-uri sc-status s-siteid s-reason s-queuename
2010-01-26 17:52:46 203.74.210.129 38412 192.168.0.1 80 HTTP/1.1 CONNECT ms1.hinet.net:25 400 - URL -
2010-01-26 18:10:08 202.81.251.249 47791 192.168.0.1 80 HTTP/1.0 CONNECT 10.150.10.10:25 400 - BadRequest -
2010-01-26 18:10:20 202.81.251.249 47794 192.168.0.1 80 HTTP/1.0 POST / 400 - BadRequest -
2010-01-26 18:20:57 80.187.100.116 54988 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 18:32:07 80.187.100.108 23978 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 18:48:07 80.187.99.57 47001 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 19:00:22 80.187.100.108 49618 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 19:14:07 80.187.99.57 58754 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 19:14:57 80.187.100.108 5723 192.168.0.1 443 - - - - - Timer_MinBytesPerSecond -
2010-01-26 19:15:26 80.187.100.108 9258 192.168.0.1 443 - - - - - Timer_MinBytesPerSecond -
2010-01-26 19:26:32 80.187.99.57 14986 192.168.0.1 443 - - - - - Timer_MinBytesPerSecond -
2010-01-26 19:31:02 80.187.99.57 7797 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 19:58:52 80.187.99.57 33442 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 20:10:36 80.187.99.57 1057 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 20:12:22 80.187.99.41 38458 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 20:40:47 80.187.99.57 5156 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 20:53:37 80.187.99.57 45238 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 21:24:32 80.187.100.108 26229 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 21:40:07 77.178.140.18 54347 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 23:00:47 77.178.140.18 54351 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 23:38:47 193.239.68.6 57679 192.168.0.1 80 - - - - - Timer_MinBytesPerSecond -
2010-01-26 23:42:02 77.178.140.18 54357 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 23:49:12 80.187.100.108 38566 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 23:58:52 80.187.99.57 39404 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-26 23:59:50 203.74.210.129 48532 192.168.0.1 80 HTTP/1.1 CONNECT ms1.hinet.net:25 400 - URL -
2010-01-27 00:11:52 80.187.99.57 26327 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 00:22:27 77.178.140.18 54359 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 00:22:27 77.178.140.18 54360 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 00:59:06 202.81.251.249 11745 192.168.0.1 80 HTTP/1.0 CONNECT 10.150.10.10:25 400 - BadRequest -
2010-01-27 00:59:19 202.81.251.249 11748 192.168.0.1 80 HTTP/1.0 POST / 400 - BadRequest -
2010-01-27 01:02:47 77.178.140.18 54363 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 01:37:32 80.187.99.57 13099 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 01:43:07 77.178.140.18 54365 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 01:43:07 77.178.140.18 54366 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 02:09:22 80.187.100.108 58276 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 02:23:32 77.178.140.18 54369 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 03:03:52 77.183.174.253 54371 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 03:03:52 77.183.174.253 54372 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 03:44:07 77.183.174.253 54375 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 03:58:12 80.187.99.57 24485 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 04:00:00 125.224.201.33 2434 192.168.0.1 80 HTTP/0.0 Invalid - 400 - Verb -
2010-01-27 04:00:00 125.224.201.33 2911 192.168.0.1 80 HTTP/1.1 CONNECT 203.188.201.253:25 400 - URL -
2010-01-27 04:24:22 77.183.174.253 54377 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 04:24:22 77.183.174.253 54378 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 05:04:47 77.183.174.253 54381 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 05:40:12 77.183.174.253 54393 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 06:20:27 77.183.174.253 54396 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 06:20:27 77.183.174.253 54395 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 06:26:17 80.187.99.57 28744 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 06:54:47 80.187.100.108 30627 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 07:00:47 77.183.174.253 54399 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 07:32:47 192.168.0.144 1348 192.168.0.1 80 - - - - - Timer_ConnectionIdle -
2010-01-27 07:33:12 192.168.0.144 1386 192.168.0.1 80 - - - - - Timer_ConnectionIdle -
2010-01-27 07:37:57 192.168.0.126 1486 192.168.0.1 80 - - - - - Timer_ConnectionIdle -
2010-01-27 07:40:07 192.168.0.111 1313 192.168.0.1 80 - - - - - Timer_ConnectionIdle -
2010-01-27 07:41:17 77.183.174.253 54401 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 07:41:22 77.183.174.253 54402 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 07:41:57 192.168.0.126 1694 192.168.0.1 80 - - - - - Timer_ConnectionIdle -
2010-01-27 07:47:15 202.81.251.249 14672 192.168.0.1 80 HTTP/1.0 CONNECT 10.150.10.10:25 400 - BadRequest -
2010-01-27 07:47:28 202.81.251.249 14679 192.168.0.1 80 HTTP/1.0 POST / 400 - BadRequest -
2010-01-27 07:48:52 192.168.0.132 1158 192.168.0.1 80 - - - - - Timer_ConnectionIdle -
2010-01-27 08:19:18 80.187.100.108 4921 192.168.0.1 443 - - - - - Timer_MinBytesPerSecond -
2010-01-27 08:27:38 77.183.174.253 54405 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 09:11:43 80.187.101.49 42743 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 09:32:53 192.168.0.144 4447 192.168.0.1 80 - - - - - Timer_ConnectionIdle -
2010-01-27 09:32:58 192.168.0.111 1816 192.168.0.1 80 - - - - - Timer_ConnectionIdle -
2010-01-27 09:33:03 192.168.0.126 4615 192.168.0.1 80 - - - - - Timer_ConnectionIdle -
2010-01-27 09:55:53 80.187.100.32 3147 192.168.0.1 443 - - - - - Timer_ConnectionIdle -
2010-01-27 09:55:53 80.187.100.32 3359 192.168.0.1 443 - - - - - Timer_ConnectionIdle -

IIS sieht so aus:

Anwendungspools -
DefaultsAppPool
ExchangeApp...
ExchMobileBrows....
MSSharPointAppPool
StsAdminAppPool
VMware Management Pool
Websites
Standardwebsite
VMware Management Interface
Companyweb
OfficeScan
SMEX Web Site
Bitte warten ..
Mitglied: datasearch
27.01.2010 um 16:35 Uhr
Die Einträge sind bedenklich:
date time c-ip c-port s-ip s-port cs-version cs-method cs-uri sc-status s-siteid s-reason s-queuename
2010-01-26 17:52:46 203.74.210.129 38412 192.168.0.1 80 HTTP/1.1 CONNECT ms1.hinet.net:25 400 - URL -
2010-01-26 18:10:08 202.81.251.249 47791 192.168.0.1 80 HTTP/1.0 CONNECT 10.150.10.10:25 400 - BadRequest -
2010-01-26 18:10:20 202.81.251.249 47794 192.168.0.1 80 HTTP/1.0 POST / 400 - BadRequest - - -
2010-01-26 23:59:50 203.74.210.129 48532 192.168.0.1 80 HTTP/1.1 CONNECT ms1.hinet.net:25 400 - URL -


Das ganze kommt von:

01.
inetnum:      202.81.224.0 - 202.81.255.255 
02.
netname:      NETFRONT-HK 
03.
descr:        Netfront Information Technology Limited, 
04.
descr:        Internet Service Provider, Hongkong 
05.
country:      HK 
06.
admin-c:      LY103-AP 
07.
tech-c:       LY103-AP 
08.
status:       ALLOCATED PORTABLE 
09.
changed:      hm-change@apnic.net 20020906 
10.
mnt-by:       APNIC-HM 
11.
mnt-lower:    MAINT-NETFRONT-AP 
12.
source:       APNIC
und sollte auf jeden Fall geprüft werden. Es wird versucht, deinen Server dazu zu überreden, sich mit anderen Servern zu Port 25 zu verbinden (HTTP-Connect). Sollte dies erfolgreich sein, können Angreifer über deinen IIS EMails verschicken. Prüfe bitte ganz genau deine Logfiles.


Man kann nun vermuten, das der AppPool bei diesen "angriffen" abstürzt oder bereits etwas auf dem Server läuft. Bedarf einer genaueren Prüfung. Schalte bitte sofort unverschlüsseltes HTTP ab und sage deinen Leuten, sie sollten nur noch über HTTPS auf den Server zugreifen. Auf Port443 scheinen die Angreifer es nicht abzusehen.
Bitte warten ..
Mitglied: chrissek
01.02.2010 um 15:27 Uhr
Hallo und Danke für die Interpretation des Logs, ich werde Deine Ratschläge gern übernehmen. HTTPS-als Standard einzuführen steht eh auf meiner To-Do-Liste, dann muss ich das forcieren und die Externen mal zum Besuch in der Zentrale einladen.

Trotzdem erklärt das vielleicht den Absturz der Apps, leider jedoch nicht das Phänomen, dass ich weder durch - Rücksicherung des IIS, Neustart der IIS-Dienste und Anderem und verschiedener Kombinationen aller Dinge, den IIS nicht mehr auf die Füße kriege.....

Wirklich nur ein Neustart des Systems lässt den IIS sich wieder beleben...... und jetzt verate mir mal einer, welche Funktionaliät dahinter steckt.......?! Ich sehe keinen Ansatz (mehr)....

Irgend eine Idee?
Bitte warten ..
Mitglied: datasearch
01.02.2010 um 21:25 Uhr
Was genau dieses Verhalten verursacht wirst du warscheinlich nur mit einem Debugger herausfinden. Einer der IIS relevanten Prozesse bleibt auf eine Art hängen, das der Neustart des IIS keine Besserung bringt. Es reicht ja schon, wenn eine vom IIS verwendete DLL, die bei Dienstneustart nicht entladen wird im Speicher manipuliert wurde und irgend ein Funktionsaufruf nicht mehr das macht was er soll. Primärziel ist hier immer der AppPool. Du kannst versuchen deine Erweiterungen auf ein Minimum zu begrenzen und mehrere AppPools für verschiedene Anwendungen einrichten. Zudem solltest du alle Ordner, die nicht unbedingt von extern benötigt werden so sperren, dass der Zugriff per IP-Beschränkung nur noch von Intern möglich ist.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst Serverumzug SBS 2003 nach 2012R2 ohne Active Directory (2)

Frage von step777 zum Thema Windows Server ...

Exchange Server
gelöst SBS 2003 und Multisendcon: Mailversand an t-online Adressen funktioniert nicht (11)

Frage von danieluk15 zum Thema Exchange Server ...

Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...