foxm2k 10 Geschrieben 5. April 2012 Melden Teilen Geschrieben 5. April 2012 Hallo zusammen, vorweg: Ich setze Windows Server 2008R2 ein, der auch regelmässig gepatcht wird. Darauf ist ein Exchange Server 2010 installiert. (Beides als Student über MSDNAA bezogen) Heute Morgen hab ich bemerkt, daß es wohl in der Nacht, 5.4 einen Systemabsturz gegeben haben muß, ein Blick in bluescreenview hat diese Vermutung bestätigt (KERNEL_DATA_INPAGE_ERROR). Dabei habe ich auch gesehen, daß es ebenfalls für 25.3 (SYSTEM_SERVICE_EXCEPTION), 26.3 (CACHE_MANAGER) und 28.3 (MEMORY MANAGEMENT) Bluescreen Einträge gibt. Diese Abstürze hab ich jedoch komischerweise nicht mitbekommen. Nun frage ich mich, ob es wohl möglich ist, daß sich jemand von außen Zugriff verschafft haben könnte. Dabei hab ich zunächst in den EventViewer geschaut, aber bei der Interpretation der Einträge bin ich mir nicht 100% sicher, wenngleich ich erkannt habe wie ein Eintrag aussieht wenn ich mich über RDP auf den Server verbinde. Unabhängig davon, ob die konkreten Exceptions ein Indiz dafür oder für einen bloßen RAM / HDD Fehler sind: Welche Möglichkeiten habe ich, um Zugriffe auf den Server (über eventvwr oder andere Hilfsmittel ist egal) zu erkennen und nachzuvollziehen? Grüße. Zitieren Link zu diesem Kommentar
Gabriel70 10 Geschrieben 5. April 2012 Melden Teilen Geschrieben 5. April 2012 Hallo! Heute Morgen hab ich bemerkt, daß es wohl in der Nacht, 5.4 einen Systemabsturz gegeben haben muß, ein Blick in bluescreenview hat diese Vermutung bestätigt (KERNEL_DATA_INPAGE_ERROR). Dabei habe ich auch gesehen, daß es ebenfalls für 25.3 (SYSTEM_SERVICE_EXCEPTION), 26.3 (CACHE_MANAGER) und 28.3 (MEMORY MANAGEMENT) Bluescreen Einträge gibt. Diese Abstürze hab ich jedoch komischerweise nicht mitbekommen. Hast du denn jede Minute in der Nacht davor gesessen? Möglicherweise wurden diese Probleme abgefangen und die entsprechenden Services neu gestartet. Hast du mal die Hardware (HDD, RAM) gecheckt? Nun frage ich mich, ob es wohl möglich ist, daß sich jemand von außen Zugriff verschafft haben könnte. Unwahrscheinlich, oder bist du von außen erreichbar an das öffentlich Netz angebunden? Welche Möglichkeiten habe ich, um Zugriffe auf den Server (über eventvwr oder andere Hilfsmittel ist egal) zu erkennen und nachzuvollziehen? Jede Anmeldung am System, wie auch immer geartet, lässt sich unter <Sicherheit> im Eventmanager nachvollziehen Schau mal hier: Audit Policy Grüße Zitieren Link zu diesem Kommentar
foxm2k 10 Geschrieben 5. April 2012 Autor Melden Teilen Geschrieben 5. April 2012 Hallo! Hast du denn jede Minute in der Nacht davor gesessen?Möglicherweise wurden diese Probleme abgefangen und die entsprechenden Services neu gestartet. Ah, okay, das ist schon mal eine interessante Info. Da war ich mir eben auch nicht ganz sicher, klassischerweise bin ich bei bluescreen wirklich von einem durchbooten des Rechners ausgegangen (so wie's in der Systemsteuerung seit den neueren Windows-Versionen eingestellt ist). Dann hat wohl nur der Fehler in der letzten Nacht wirklich den Rechner neu gestartet, das merk ich nämlich daran, daß dann Speedfan, das im Autostart steckt, noch nicht läuft und alle Lüfter auf 100% drehen. Unwahrscheinlich, oder bist du von außen erreichbar an das öffentlich Netz angebunden? Die IP ist schon dynamisch, aber ich hab halt einen dyndns-Alias der immer konkret auflöst. Jede Anmeldung am System, wie auch immer geartet, lässt sich unter <Sicherheit> im Eventmanager nachvollziehen Schau mal hier: Audit Policy Wenn ich den verlinkten Artikel richtig verstehe, heißt das, daß dann noch ein paar Events und vor allen Dingen mit etwas mehr Detail-Infos im EventViewer auftauchen!? Hast du mal die Hardware (HDD, RAM) gecheckt? Das will ich eben jetzt über Ostern mal checken. Letzter Routinecheck vor etwa einem Jahr war in Ordnung. Danke dir! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.