Apache, tomcat5 + comportement étrange
Goudax
-
Malekal_morte- Messages postés 178136 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 178136 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Mon serveur mail relay, web et ftp se comporte bizarrement et j'ai remarqué que j'avais des processus étranges dans le task manager, (apache.exe, tomcat5.exe, ...)
Il m'est actuellement impossible de copier-coller quoi que ce soit, AVG ne veut pas s'installer, Malwarebyte's ne veut pas s'exécuter, impossible de se connecter en remote desktop, sites web hébergés dessus inaccessibles, les fenêtres réduites se placent au dessus de la barre des tâches mais pas dedans.
Quejqu'un sait-il m'aider ? Je prépare déja un log HJT au cas où, histoire d'aller vite, je suis assez emmerdé sans ce serveur.
Merci
Mon serveur mail relay, web et ftp se comporte bizarrement et j'ai remarqué que j'avais des processus étranges dans le task manager, (apache.exe, tomcat5.exe, ...)
Il m'est actuellement impossible de copier-coller quoi que ce soit, AVG ne veut pas s'installer, Malwarebyte's ne veut pas s'exécuter, impossible de se connecter en remote desktop, sites web hébergés dessus inaccessibles, les fenêtres réduites se placent au dessus de la barre des tâches mais pas dedans.
Quejqu'un sait-il m'aider ? Je prépare déja un log HJT au cas où, histoire d'aller vite, je suis assez emmerdé sans ce serveur.
Merci
7 réponses
-
Salut,
Un serveur web sous Windows \o
C'est tendu \o
bha vas y fais péter HijackThis pour voir :)
-
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:12:12, on 28/06/2010
Platform: Windows 2003 SP1 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP1 (6.00.3790.1830)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\FileZilla Server\FileZilla Server.exe
C:\Program Files\Trend Micro\msde\mssql\MSSQL\Binn\sqlservr.exe
C:\Program Files\Trend Micro\IMSS\ui\tomcat\bin\tomcat5.exe
C:\Program Files\Trend Micro\IMSS\ui\apache\bin\Apache.exe
C:\Program Files\Trend Micro\IMSS\ui\tomcat\bin\tomcat5.exe
C:\Program Files\Trend Micro\IMSS\bin\foxdns.exe
C:\Program Files\Trend Micro\IMSS\bin\imssmgr.exe
C:\Program Files\Trend Micro\IMSS\bin\tsmtpd.exe
C:\Program Files\Trend Micro\IMSS\bin\imssps.exe
C:\Program Files\Trend Micro\IMSS\bin\IMSSService.exe
C:\Program Files\Trend Micro\IMSS\ui\apache\bin\Apache.exe
C:\Program Files\Trend Micro\IMSS\bin\imsstasks.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\Program Files\Trend Micro\IMSS\bin\IMSSChild.exe
C:\Program Files\Trend Micro\IMSS\bin\IMSSChild.exe
C:\WINDOWS\system32\dns\bin\named.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Creative\Mixer\CTSVolFE.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files\Trend Micro\IMSS\bin\statmon.exe
C:\Documents and Settings\Administrator\Desktop\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/softAdmin.htm
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [CTSVolFE.exe] "C:\Program Files\Creative\Mixer\CTSVolFE.exe" /r
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Program Files\FileZilla Server\FileZilla Server Interface.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Status Monitor.lnk = C:\Program Files\Trend Micro\IMSS\bin\statmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O15 - ESC Trusted Zone: http://ftp.us.dell.com
O15 - ESC Trusted Zone: http://support.euro.dell.com
O15 - ESC Trusted Zone: https://www.dell.com/content/public/choosecountry.aspx?c=us&l=en&s=gen
O15 - ESC Trusted Zone: https://www.google.be/?gws_rd=ssl
O15 - ESC Trusted Zone: https://www.trendmicro.com/fr_fr/business.html
O15 - ESC Trusted IP range: http://127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = kenomar.com
O17 - HKLM\Software\..\Telephony: DomainName = kenomar.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{2738A24D-56A5-4ECF-9FC4-9869D6B4E6B3}: NameServer = 217.117.32.3,194.7.1.4
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = kenomar.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{2738A24D-56A5-4ECF-9FC4-9869D6B4E6B3}: NameServer = 217.117.32.3,194.7.1.4
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files\FileZilla Server\FileZilla Server.exe
O23 - Service: ISC BIND (named) - Unknown owner - C:\WINDOWS\system32\dns\bin\named.exe
O23 - Service: Trend Micro IMSS Web Console (TmImssAdminUI) - Apache Software Foundation - C:\Program Files\Trend Micro\IMSS\ui\tomcat\bin\tomcat5.exe
O23 - Service: Trend Micro IMSS CMAgent Service (TmImssCMAgent) - Unknown owner - C:\Program Files\Trend Micro\IMSS\bin\imsscmagent.exe
O23 - Service: Trend Micro IMSS EUQ Load Balancer (TmImssEuqLoadBalancer) - Apache Software Foundation - C:\Program Files\Trend Micro\IMSS\ui\apache\bin\Apache.exe
O23 - Service: Trend Micro IMSS End User Quarantine Console (TmImssEuqUI) - Apache Software Foundation - C:\Program Files\Trend Micro\IMSS\ui\tomcat\bin\tomcat5.exe
O23 - Service: Trend Micro IMSS IPProfiler (TmImssIpprofiler) - Unknown owner - C:\Program Files\Trend Micro\IMSS\bin\foxdns.exe
O23 - Service: Trend Micro IMSS Manager (TmImssManager) - Unknown owner - C:\Program Files\Trend Micro\IMSS\bin\imssmgr.exe
O23 - Service: Trend Micro IMSS SMTP Service (TmImssMTA) - Unknown owner - C:\Program Files\Trend Micro\IMSS\bin\tsmtpd.exe
O23 - Service: Trend Micro IMSS Policy Service (TmImssPolicy) - Unknown owner - C:\Program Files\Trend Micro\IMSS\bin\imssps.exe
O23 - Service: Trend Micro IMSS Scan Service (TmImssScan) - Unknown owner - C:\Program Files\Trend Micro\IMSS\bin\IMSSService.exe
O23 - Service: Trend Micro IMSS Task Services (TmImssTasks) - Unknown owner - C:\Program Files\Trend Micro\IMSS\bin\imsstasks.exe
O23 - Service: VNC Server (winvnc) - www.ultravnc.fr - C:\Program Files\UltraVNC\WinVNC.exe
-
Le rapport est OK.
Apache/Tomcat est apparemment utilisé par Trend, surement console Web d'administration.
Donc bon installé AVG alors que t'as Trend, c'est pas une bonne idée.
Apparemment t'es en Windows 2003 Service pack 1 alors que le 2 est sorti.
Donc pas à jour, donc vulnérabilités donc potentiellement ton serveur il peut se faire hacker les deux dans le nez...
Pareil Java est pas à jour.
-
Tout d'abord merci pour la réponse rapide,
Je suis content que le rapport HJT soit bon.
Je fais le mises à jour nécessaire et je reposte.
A tout à l'heure -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
Sauvegarde les données importantes avant de faire les mises à jour.
-
Re,
J'ai reussi à télécharger SP2 mais impossible de l'installer car soit-disant le service "Cryptographic services" n'est pas démarré.
De fait, il ne l'est pas, or il est en automatique et si je tente de le démarrer à la main, j'ai une erreur.
Donc impossible de mettre à jour vers SP2, que puis-je faire afin d'éviter une réinstallation ?
Merci -
Voir résolution avec db.log / Catroot :
https://docs.microsoft.com/fr-fr/troubleshoot/windows-server/deployment/cannot-install-updates-programs
Voir si c'est pas non plus un service dont le service cryto dépend qui merdouille et démarre pas.
