LogonUI.exe и csrss.exe ежесекундно стартуют и валятся. #754231

Периодически на виндоус7х64 начинается свисопляски с процессами, появляются сначала пачка предупреждений winlogon с кодом 6005/6006, "Подписчик уведомлений winlogon <TermSrv> потратил 282 сек. на обработку события уведомления (TerminateSession).", затем ошибки Kernel-Event Tracing с кодом события 2: "Не удалось запустить сеанс "Circular Kernel Context Logger" со следующей ошибкой: 0xC0000035", затем ошибка с кодом 7011 с сообщением "Превышение времени ожидания (30000 мс) при ожидании ответа транзакции от службы "*здесь разные службы, почти все*".", после чего винда валится (или зависает, работает только десктоп, но ни одно приложение не запускается). переустановка винды не помогла. такое ощущение, что это кто-то ломится по рдп (комп открыт в инет), не знаю, как найти. может, в чем-то еще может быть проблема? инет перерыл, дело не в ipv6, он изначально отключен.

кто то пытается подобрать пароль?  поменяй порт рдп...

Если комп физически отключить от сети, проблемы прекращаются? Подключение к инету сделано каким образом - проброс только определенных портов или тупо белый ip-адрес на самом компе?

а вообще на прямую никогда порт рдп не открывай в инет... должна быть промежуточная железка с фаерволом

+100

комп не рядом со мной. пока что тупо адрес, никогда такой проблемы не было. роутер есть, но я проброс всех портов просто делаю. вечером поеду туда тестить. проблема появилась буквально на днях, а я с температурой лежу (( какая железка, например?

любая с фаерволом, хоть комп на линухе, хоть продвинутый фортинет... почитай зачем делают DMZ

поменял порт, сервер не доступен, хотя все порты пробрасываются через дмз. наверное, провайдер ограничил. комп там недавно стоит

а еще какие варианты есть? впн? сертификаты? я просто этим не занимался никогда, на мне всегда 1С обычно была.

а роутер доступен?

да, доступен. кстати, после ребута компа, временно проблема прекращается на несколько часов, потом снова начинается. если бы подбирали, наверное, сразу же после старта это должно было бы начаться или нет?

дафиг его знает, без статистики и анализа - это гадание на кофейной гуще... начиная от ddos атаки и заканчивая сетевой петлей....

нет там петли никакой. могу дать доступ по рдп, глянешь?

это тебе админ нужен, я не полезу чужую сеть чинить... в свою где все тонкости знаю еще могу полезть, а в чужую, да еще и по дулаленке.... знаешь есть такая примета: "удаленная настройка роутера - к дальней дороге"

знаю, только вот знакомых админов у меня тут нет, как не было и другом городе, когда недавно оттуда уехал. наоборот, все ко мне обращались, но глубоко в сетевые дебри я не забирался, обычно все по-простому настраивал, ибо это не мои проблемы были насчет безопасности.

Переименовать %windir%panthersetup.etl в setup.old и перегрузиться пробовал?

жду очередной атаки, чтобы проверить. сегодня вечером туда поеду и попробую выдернуть кабель. проблема понемногу локализовывается.

снова началась атака, выдернул шнур, LogonUI и csrss запускаться перестали. ничего не могу отследить, ибо комп наглухо зависает, причем первым зависает диспетчер задач, хотя загрузка практически нулевая.

если роутер доступен, то может, посмотреть на нем логи - какая сетевая активность происходит во время атаки? Роутер-то хоть что из себя представляет?

DMZ делается в первую очередь для защиты локальных ресурсов от DDOS в твоем случая роутер нифига не помогает тебе, при атаке - он должен отрубатся до того момента как отрубится сервер, это как предохранитель в электро сети :)

таксебешный, зюхель кинетик лайт, не знаю, откуда он тут взялся, по моему опыту они постоянно виснут, а если тупит инет, они и сеть кладут, а если больше 3-4 вайфай подключений, то они и скорость в сети роняют. поэтому я дмз и настроил, чтобы все входящее шло на этот комп, им обрабатывалось, а домашней сети не мешало (это на дому все), ддоса я не боюсь, а вот подбора паролей - да. я просто не ожидал, что эти попытки подключения мне ронять венду будут. У хозяина роутера есть еще асус помощнее, с впном, вот я разберусь с операционкой и, наверное, его ставить буду. я временно через дмз сделал, пока не появится время на нормальную настройку, но как всегда, все временное остается постоянным. поставил кис, вроде пока симптомов не наблюдается, видимо его фаервол какой-никакой, а справляется, но его статистика молчит. жду очередной атаки весь день, но ничего не происходит.

а почему бы просто не оставить стандартную настройку роутера и не пробросить один порт через NAT? тогда можно быть уверенным, что не ломают ничего другого кроме RDP. И если вы все-таки думаете что подбирают пароль RDP - есть же рекомендации по ограничению количества попыток входа и таймаутам. Я, правда, не знаю, можно ли это настроить на несерверной ОС, но, может, имеет смысл в этом направлении посмотреть?

потому что мне нужны еще порты, не только рдп, замотаюсь их искать, какие нужны. достанет все прокидывать. аэрофсу, например, нужны пять портов минимум, я пробовал открыть порты из её мануала, но она всё равно не работает, пока я не открою все. рекомендации, может, и есть, но венда не должна виснуть от попыток подключения наглухо. я пробовал сменить порт рдп в реестре, почему-то не получилось, хотя порт открыт (в радмине смена прошла нормально). а еще у меня пароля от роутеров нет. мне, как правило, дают доступ только к серваку, дальше уже мои проблемы. клиент не единственный.

при выставлении компа на входящие подключения в интернет всегда открывают ровно те порты которые нужны. Ни одного лишнего быть не должно. Не стал нужен сервис - полез и закрыл порт. Стал нужен - открыл. Это азбука, букварь.

> но венда не должна виснуть от попыток подключения наглухо :))) скажи это тем кто находит эксплоиты в виндовых службах чуть не каждую неделю

да знаю я, знаю... ща админ из отпуска выйдет, пусть епется.

кстати, если комп зависает даже после отключения сети, то вполне может быть что он уже затроянен по самый не балуй, в том числе руткитами, которые антивирусом так просто не ищутся.

ненене, отключаю сеть, все развисает, венда совсем новая, троянов нет, я их сразу чую.

Так может проблема с сетевой картой на этом компе?

блин, каспер не помогает. диспетчер задач все так же виснет. мессаги валятся, но реже. все это происходит ближе к ночи, сидеть около сервера круглосуточно не могу ( сетевуху надо будет проверить как-нибудь..

Воткни ему автовключение с утра и автоотключение после рабочего дня.

если он зависает, то сам уже ребутнуться не может. он наглухо виснет. и атаки в течение дня тоже бывают, и утром тоже. и мне надо, чтобы он был включен всегда, я же на нем работать не могу днем

смоделировали с другом атаку на комп. каспер отработал нормально, закрыл доступ, компу вообще похер. заметил, что среди прочих ошибок перед падением срабаватет "Не удалось загрузить драйвер DriverWUDFRd для устройства WpdBusEnumRootUMB2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_GENERIC&PROD_STORAGE_DEVICE&REV_0.00#00000000000006&0#." может, это сдох кардридер и, падла, роняет систему... завтра проверю.

Нах тебе кардридер на сервере???

остался от старых задач, там раньше был сервер навигации с доступом по карте

спасибо за наводку, но не сетевуха, а кардридер систему рушил, дошел до него, когда все виды ошибок в вендовых логах проверил.

Однажды также голову ломал, почему у коллеги системник/винда жутко тормозит. Но без ошибок в логах. Проблема оказалась в старинном CD-приводе (еще IDE). Отцепил этот привод - все летает. Смена кабеля питания и дата в другой разъем, удаление IDE контроллера в винде с перезагрузкой не помогли. В итоге, привод был оставлен не подключенным в качестве заглушки.