Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

LSASS terminated unexpectedly kada sam na netu

[es] :: Security :: LSASS terminated unexpectedly kada sam na netu

[ Pregleda: 4176 | Odgovora: 12 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

ImPlant
Panajotis Zamos
bgd

Član broj: 730
Poruke: 238
213.244.208.*

Jabber: aqw137@gmail.com
Sajt: weevify.com


Profil

icon LSASS terminated unexpectedly kada sam na netu16.07.2005. u 12:22 - pre 204 meseci
desava mi se da mi lsass pukne ponekad kad sam na netu. kad pogledam event log imam sledece poruke:

1.The Security System has received an authentication request that could not be decoded. The request has failed.

2.The security package Negotiate generated an exception. The exception information is the data. i to tako 50-60 puta za redom u jednoj sekundi

3.The process winlogon.exe has initiated the restart of computer AQW137 on behalf of user for the following reason: No title for this reason could be found
Reason Code: 0x50006
Shutdown Type: restart
Comment: The system process 'C:\WINDOWS\system32\lsass.exe' terminated unexpectedly with status code 128. The system will now shut down and restart.


da li neko moze da mi kaze o cemu se radi i kako da ga sprecim (kako da sprecim pucanje lsass a ne resetovanje)

hvala unapred

.
look
closer

DON'T
PANIC
 
Odgovor na temu

Shadowed
Vojvodina

Član broj: 649
Poruke: 12819



+4754 Profil

icon Re: LSASS terminated unexpectedly kada sam na netu18.07.2005. u 17:54 - pre 204 meseci
Imas li firewall i ako imas sta kaze o periodu pre i u toku dobijanja poruke?
Skeniraj sistem AV-om (ako nisi).
 
Odgovor na temu

ImPlant
Panajotis Zamos
bgd

Član broj: 730
Poruke: 238
213.244.208.*

Jabber: aqw137@gmail.com
Sajt: weevify.com


Profil

icon Re: LSASS terminated unexpectedly kada sam na netu19.07.2005. u 21:46 - pre 204 meseci
AV nemam tako da ne mogu da proverim zarazenost systema.
FW mi nije dao nikakvu korisnu informaciju, nisam uspeo da nadjem nikakvu pravilnost u predhodna 2-3 napada. samo da napomenem da ne dolazi uvek do pucanja i takodje nisam uspeo da "uhvatim" pravilnost u kojim situacijama i kod kojih sajtova dolazi do pucanja.

da li je ovo neka vrsta DOS napada?
look
closer

DON'T
PANIC
 
Odgovor na temu

Shadowed
Vojvodina

Član broj: 649
Poruke: 12819



+4754 Profil

icon Re: LSASS terminated unexpectedly kada sam na netu20.07.2005. u 21:47 - pre 204 meseci
Ne bi bilo lose da instaliras AV, ne samo zbog ovoga.
Ukljuci u FW-u sva moguca logovanja i kada se to dogodi pogledaj koliko je sati. Posle vidi ima li sta u to vreme (plus minus 2-3min.).
U EventViewer-u pogledaj da li je neki servis u tom trenutku prekinut.
Citat:
da li je ovo neka vrsta DOS napada?

Verovatno.
 
Odgovor na temu

ss.
Zagreb

Član broj: 44988
Poruke: 20
*.adsl.net.t-com.hr.

ICQ: 137330597
Sajt: lesh.sysphere.org


Profil

icon Re: LSASS terminated unexpectedly kada sam na netu22.07.2005. u 11:42 - pre 204 meseci
Nije ovo dos, nego rupa u lsassu, kad nesto/neko uleti kroz nju, lsass puca. predpostavljam da imas nepokrpani xpsp1, owna te pola interneta do sada, preporucio bi reinstalaciju jer ko zna sta si sve pokupio.. ako neces reinstalirat os, krpaj to i dizi antivirus

[Ovu poruku je menjao ss. dana 22.07.2005. u 12:45 GMT+1]
 
Odgovor na temu

Shadowed
Vojvodina

Član broj: 649
Poruke: 12819



+4754 Profil

icon Re: LSASS terminated unexpectedly kada sam na netu22.07.2005. u 18:13 - pre 204 meseci
Lepo se vidi da ima Windows2003. Reinstalacija tek tako? Ma hajde. Na nekim sistemima se reinstalacija ne radi kad god ti padne na pamet i nije nimalo naivna stvar.

Inace, rekao bih da nije pokupio nista i mislim da znam sta je u pitanju ali necu da nagadjam i zato pitam za ove detalje.
 
Odgovor na temu

ss.
Zagreb

Član broj: 44988
Poruke: 20
*.adsl.net.t-com.hr.

ICQ: 137330597
Sajt: lesh.sysphere.org


Profil

icon Re: LSASS terminated unexpectedly kada sam na netu22.07.2005. u 19:59 - pre 204 meseci
Citat:

Lepo se vidi da ima Windows2003. Reinstalacija tek tako? Ma hajde. Na nekim sistemima se reinstalacija ne radi kad god ti padne na pamet i nije nimalo naivna stvar.

w2k3 ima takodjer exploitable lsass,, i da, naravno da se reinstalacija ne radi tek tako, ali ako je ovdje slucaj da je bio online sa potpuno otvorenim sysom, vise mu se ne moze "vjerovati", jer ko zna kakvu je custom bestiju mogao pokupiti, pored sassera i slicnih, rekao sam da moze i samo dic av ako mu nije stalo da je 100% siguran u cistocu osa

pitanje za lika je dal si uopce updatao i krpao taj os? ako ne, kakvi firewall logovi, stvar je jasna.
 
Odgovor na temu

Shadowed
Vojvodina

Član broj: 649
Poruke: 12819



+4754 Profil

icon Re: LSASS terminated unexpectedly kada sam na netu22.07.2005. u 20:52 - pre 204 meseci
Bug koji sasser koristi je na win2k3 iskoristiv jedino za local admina - sto ce reci da bi morao sam da pokrene taj .exe. Znaci, nece bas tako lako doci sa net-a (nije nemoguce).
System mu nije "otvoren" jer FW ima. Ipak instalacija AV-a je svakako preporuka.
Stvar naravno nije jasna vec samo mozes da nagadjas i da eventualno pogodis, i bilo bi lepo da ovde tacno utvrdimo sta je bio problem i po mogucstvu na koji je nacin otkriveno i kako otkloniti (najbolje za rucno otklanjanje). U edukativne svrhe ne samo da bismo resili ovaj trenutni problem.
 
Odgovor na temu

ImPlant
Panajotis Zamos
bgd

Član broj: 730
Poruke: 238
213.244.208.*

Jabber: aqw137@gmail.com
Sajt: weevify.com


Profil

icon Re: LSASS terminated unexpectedly kada sam na netu22.07.2005. u 22:58 - pre 204 meseci
kad god je doslo do pucanja trudio sam se da u roku od nekoliko sec prekinem vezu (cupanjem kabla jer bez lsass-a nije hteo sam da je prekine)

razmisljao sam o reinstalaciji jer je os poceo u nekim situacijama cudno da se ponasa. mada me hvata jeza od takve ideje jer mi je ovo sys star vise od dve godine i bas sam "navikao" na njega.

problemi koji se desavaju sa systemom:
-slicno kao u temi http://www.elitesecurity.org/tema/127322 ali ja nemam open opciju koju bih mogao da stavim kao default
-ponekad kad pokusam da iskljucim neku aplikaciju istog trenutka se resetuje win (nema nikakve poruke u event logu.
-drag&drop nece uvek da radi kako treba
-i jos mozda neke sitnice ali ne mogu da se setim

mozda ovi problemi nemaju veze sa pucanjem lsass-a

od zakrpa imam samo za RPC i za neki propust u vezi jpg-a ili tako nesto.

koji AV mi preporucujete s' obzirom da imam server varijantu OS-a?
i da u slucaju reinstalacije kakva je mogucnost ponovne zaraze ako je u pitanju vec zarazen system. znaci ja bih zgazio samo systemski deo.

unapred hvala
look
closer

DON'T
PANIC
 
Odgovor na temu

Shadowed
Vojvodina

Član broj: 649
Poruke: 12819



+4754 Profil

icon Re: LSASS terminated unexpectedly kada sam na netu25.07.2005. u 16:52 - pre 204 meseci
Za ove druge probleme se nadovezi na postojece teme ili pokreni nove.

Dve stvari na koje najvise sumnjam su:
http://www.microsoft.com/technet/security/advisory/904797.mspx - u ovom slucaju je DoS.
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx - varijanta da si ipak navukao sasser-a i/ili nesto sl.

U svakom slucaju prvo instaliraj AV (vidi koji radi na server-u ako hoces legalnu verijantu ili bilo koji drugi u onim drugim slucajevima. Pogledaj temu o preporukama za AV). Tada instaliraj zakrpe.
U slucaju da je prva stvar u pitanju, nema zakrpe ali mozes blokirati port 3389 za dolazni saobracaj ili iskljuciti terminal service.
U slucaju da ti je potreban Terminal service, koristi ga kroz VPN.

Edit: ispravljen prvi link.

[Ovu poruku je menjao Shadowed dana 25.07.2005. u 18:40 GMT+1]
 
Odgovor na temu

ss.
Zagreb

Član broj: 44988
Poruke: 20
*.adsl.net.t-com.hr.

ICQ: 137330597
Sajt: lesh.sysphere.org


Profil

icon Re: LSASS terminated unexpectedly kada sam na netu25.07.2005. u 17:29 - pre 204 meseci
Citat:

Bug koji sasser koristi je na win2k3 iskoristiv jedino za local admina - sto ce reci da bi morao sam da pokrene taj .exe


nije, lsass je remotely exploitable. i sasser ga i exploita remotely

Citat:

System mu nije "otvoren" jer FW ima. Ipak instalacija AV-a je svakako preporuka.

ako ima application based fw, ako je pustio lsass van, i ako je spojen direktno na net itekako je otvoren

evo nekog infoa konkretno o sasseru:
http://vil.nai.com/vil/content/v_125012.htm

a sto se tice ovog nekog dosa preko terminal servicea, terminal service nema nikakve veze sa lsassom, vrti ga svchost.exe, a da se dogadja ovakvo rusenje systemskih processa zbog toga, sigurno bi bilo zakrpe

Citat:

koji AV mi preporucujete s' obzirom da imam server varijantu OS-a?

mislim da nebi bilo problema niti sa jednim av-om, koristim 2k3 dosta dugo i nije mi se dogodilo da nesto ne radi. iako av nije toliko potreban ako se ta masina koristi samo kao server, i ako mislis raditi format/reinstall, nakon reinstalla stavi sp1 (prije nego dignes masinu online, sp1 popravlja sve te public remotely exploitable rupe, tako da nemoras rucno krpat), digni automatic updates i trebao bi biti siguran.
 
Odgovor na temu

Shadowed
Vojvodina

Član broj: 649
Poruke: 12819



+4754 Profil

icon Re: LSASS terminated unexpectedly kada sam na netu25.07.2005. u 17:43 - pre 204 meseci
Na drugom linku MS kaze:
Citat:
Only Windows 2000 and Windows XP can be remotely attacked by an anonymous user. While Windows Server 2003 and Windows XP 64-Bit Edition Version 2003 contain the vulnerability, only a local administrator could exploit it.

Zbog toga sam i rekao da je Win2k3 moguce exploitovati samo lokalno.

Remote desktop ima veze sa lsass-om jer zahteva autentifikaciju koju obavlja lsass.
 
Odgovor na temu

ss.
Zagreb

Član broj: 44988
Poruke: 20
*.adsl.net.t-com.hr.

ICQ: 137330597
Sajt: lesh.sysphere.org


Profil

icon Re: LSASS terminated unexpectedly kada sam na netu27.07.2005. u 20:25 - pre 204 meseci
hm sjecao sam se da sam ja na svojoj 2k3ci exploitao lsass remotely ali sad si me uzdrmao:) moguce da se radilo o rpcu
moguce da se kod pokusaja remote exploitanja lsassa na 2k3 dogadja da padne

a sto se tice ove remote desktop rupe, ima na security focusu jedan terminal services dos info ali nema public exploita, niti pise ista o lsassu, (a sad vidim da nije ni za 2k3) sumnjam da ga netko dosa

[Ovu poruku je menjao ss. dana 27.07.2005. u 21:26 GMT+1]
 
Odgovor na temu

[es] :: Security :: LSASS terminated unexpectedly kada sam na netu

[ Pregleda: 4176 | Odgovora: 12 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.