IIS出问题了, 谁遇到过类似的问题,请帮忙！

eygle

运行一段时间以后，IIS会死掉，错误信息如下，谁遇到过类似的情况请帮忙！！

事件类型:        警告
事件来源:        COM+
事件种类:        激活
事件 ID:        4238
日期:                2003-4-25
事件:                20:32:47
用户:                N/A
计算机:        AA-JKTQ4HYULER9
描述:
COM+ 已确定您的计算机运行的有效内存过少。  为了确认正确的系统作用，组件的激活已被拒。假如该问题持续，请安装更多的内存或增加您的页文件的大小。内存总计为:
dwMemoryLoad = 96
dwTotalPhys = 536326144
dwAvailPhys = 18948096
dwTotalPageFile = 1261703168
dwAvailPageFile = 62939136
dwTotalVirtual = 2147352576
dwAvailVirtual = 1819951104服务器应用程序 ID: {3D14228C-FBE1-11D0-995D-00C04FD919C1}服务器应用程序名称: IIS In-Process Applications



事件类型:        警告
事件来源:        W3SVC
事件种类:        无
事件 ID:        36
日期:                2003-4-27
事件:                8:54:20
用户:                N/A
计算机:        AA-JKTQ4HYULER9
描述:
服务器未能转入应用程序 '/LM/W3SVC/3/ROOT'。错误是 '内存已用完
'。
若要获取关于此消息的更多的信息，请访问 Microsoft 联机支持站点: http://www.microsoft.com/contentredirect.asp 。

事件类型:        信息
事件来源:        IISCTLS
事件种类:        无
事件 ID:        1
日期:                2003-4-27
事件:                8:54:17
用户:                N/A
计算机:        AA-JKTQ4HYULER9
描述:
从用户 NT AUTHORITY\SYSTEM 收到 IIS 的开始命令。登录的数据是状态代码。
若要获取关于此消息的更多的信息，请访问 Microsoft 联机支持站点: http://www.microsoft.com/contentredirect.asp 。
数据:
0000: 00 00 00 00               ....   


事件类型:        警告
事件来源:        W3SVC
事件种类:        无
事件 ID:        101
日期:                2003-4-27
事件:                8:54:17
用户:                N/A
计算机:        AA-JKTQ4HYULER9
描述:
该服务器因为错误 系统找不到指定的路径。  而无法为目录 'D:\customer\gongkong\WWW\customer\xqec\bbs' 添加虚拟根目录 ''。此数据为错误码。
若要获取关于此消息的更多的信息，请访问 Microsoft 联机支持站点: http://www.microsoft.com/contentredirect.asp 。
数据:
0000: 03 00 00 00               ....   

事件类型:        信息
事件来源:        IISCTLS
事件种类:        无
事件 ID:        2
日期:                2003-4-27
事件:                8:54:05
用户:                N/A
计算机:        AA-JKTQ4HYULER9
描述:
从用户 NT AUTHORITY\SYSTEM 收到 IIS 的停止命令。登录的数据是状态代码。
若要获取关于此消息的更多的信息，请访问 Microsoft 联机支持站点: http://www.microsoft.com/contentredirect.asp 。
数据:
0000: 00 00 00 00               ....   

事件类型:        错误
事件来源:        Service Control Manager
事件种类:        无
事件 ID:        7031
日期:                2003-4-27
事件:                8:54:03
用户:                N/A
计算机:        AA-JKTQ4HYULER9
描述:
World Wide Web Publishing Service 服务意外地终止，这种情况已经出现了 5 次。以下的修正操作将在 60000 毫秒内运行: 重新启动服务。

事件类型:        错误
事件来源:        Service Control Manager
事件种类:        无
事件 ID:        7031
日期:                2003-4-27
事件:                4:17:38
用户:                N/A
计算机:        AA-JKTQ4HYULER9
描述:
World Wide Web Publishing Service 服务意外地终止，这种情况已经出现了 2 次。以下的修正操作将在 60000 毫秒内运行: 重新启动服务。


事件类型:        错误
事件来源:        Service Control Manager
事件种类:        无
事件 ID:        7031
日期:                2003-4-27
事件:                4:17:38
用户:                N/A
计算机:        AA-JKTQ4HYULER9
描述:
IIS Admin Service 服务意外地终止，这种情况已经出现了 2 次。以下的修正操作将在 1 毫秒内运行: 运行配置的故障恢复程序。

immortalchen

事件ID为7031的错误我遇见过，好象是IIS的漏洞造成的，后来打上补丁，重启后解决了，其他错误就不清楚了。

timberwolf69

建议扩充物理内存,重新设定虚拟内存(一般为物理内存的两倍即可),另外试试重装iis,因为很多iis必要的服务都有问题....

eygle

最初由 immortalchen 发布
[B]事件ID为7031的错误我遇见过，好象是IIS的漏洞造成的，后来打上补丁，重启后解决了，其他错误就不清楚了。 [/B]

打什么补丁?

我补了一个Q327696，不知道是否有效，有待于进一步观察。

这个补丁的相关说明如下:
----------------------------
微软安全公告MS02-062



--------------------------------------------------------------------------------

受影响的软件: Internet Information Services

版本： 4.0, 5.0, 5.1

这是什么？

微软安全快速反应中心已经发布了微软安全公告 MS02－062，关注于在 Internet Information Services 中新发现的几个薄弱环节。 建议客户仔细阅读我们的公告。如果可以运行的话，在您的运行环境下测试并应用这个补丁。

薄弱环节： 共有4个薄弱环节，其中最严重的会导致服务器上的应用程序获得系统级别的特权。

技术细节：

该补丁是一个累积补丁，包含了从 Windows NT 4.0 Service Pack 6a 以来所有 IIS 4.0 安全性补丁的功能，以及到目前为止发布的所有 IIS 5.0 和 5.1 的安全性补丁。

除了包含那些已经发布的补丁功能以外，该补丁还修正了下面几个新发现的、影响 IIS 4.0, 5.0 和/或 5.1的安全性薄弱环节：

在 IIS 4.0, 5.0 或 5.1 被设置为在进程外运行 ISAPI 的时候，会产生一个导致权限上升的薄弱环节。根据最初设计，主机进程 (dllhost.exe) 应该仅在 IWAM_computername 账号的安全性上下文中运行；然而，在特殊情况下，它实际上能取得 LocalSystem 权限，从而使 ISAPI 也具有这样的权限。
IIS 5.0 和 5.1 给 WebDAV 请求分配内存的方式有一个瑕疵，会导致拒绝服务。如果 WebDAV 请求比较特殊，IIS 会在服务器上分配非常大的内存。攻击者可以通过发送几个这样的请求来使服务器失效。
在 IIS 5.0 中的 script 源码访问许可操作中也有一个薄弱环节。该许可操作除了一般的对虚拟文件夹读/写权限的控制之外，还管理着能否被上传到可写的虚拟文件夹里的scripts、.ASP文件和可执行文件的类型。在定义符合该许可的文件类型表格中的排字错误可能会在该列表中忽略.COM文件，这样一来，用户只要有写得权限就能上传这样的文件。
在管理页面中存在影响 IIS 4.0, 5.0 和 5.1 的一对 Cross-Site Scripting (CSS) 薄弱环节。这些薄弱环节中的任何一个都有相同的影响：攻击者可以引诱用户点击站点上的链接，并传递一个包含脚本的请求给使用 IIS 的第三方网站，再引发第三方站点回应给用户(仍然包含脚本)。该脚本就会以第三方站点的安全性设置来呈现，而不是攻击者的。
另外，该补丁会使 IIS 5.0 和 5.1 改变清除 socket backlog 列表的频率 – 当一台服务器上所有的 connection 都已经分派的时候，该列表用来记录未响应的请求。此补丁加快了清除该列表的频率，以使系统能更加从容地应付汹涌的攻击。在 IIS 4.0 中没有提供 backlog 监控的功能。

缓解因素：

进程外运行时的权限上升：
该薄弱环节仅会在攻击者已经具有在受影响的网络服务器上载入并运行应用程序时才能被利用。一般的安全性实践往往建议不允许未获信任的用户在服务器上载应用程序，就算已获信任用户的应用程序也应该在允许被上载前仔细察看。

WebDAV 拒绝服务：
该薄弱环节不影响 IIS 4.0，因为该版本的 IIS 中不支持 WebDAV。
该薄弱环节仅在服务器允许 WebDEV 请求时才会被利用。IIS Lockdown 工具，如果使用其默认设置实施的话，会禁止这种请求。

Script 源文件访问薄弱环节：
该薄弱环节仅会在管理员在服务器上一个或多个虚拟目录授予所有用户写权限和执行权限的时候才会被利用。IIS 的默认配置不受该薄弱环节的影响。

该薄弱环节不影响 IIS 4.0，因为该版本的 IIS 中不支持 WebDAV。
该薄弱环节仅在服务器允许 WebDEV 请求时才会被利用。IIS Lockdown 工具，如果使用其默认设置实施的话，会禁止这种请求。

IIS 管理页面中的 Cross-site Scripting：
该薄弱环节仅会在攻击者成功诱使用户点击正在浏览的网页上或者打开HTML邮件里的链接时才会被利用。
默认情况下，包含该薄弱环节的页面限制只有本地 IP 才能访问。也就是说，该薄弱环节仅在客户端自己正在运行 IIS 时才会被利用。

相关知识库文章： Q327696

安全公告栏链接：http://www.microsoft.com/technet/security/bulletin/ms02-062.asp
这个站点是本公告的权威站点。

若要得到本公告的更多信息，请访问 http://www.microsoft.com/technet/security
-------------------------------------------

eygle

最初由 timberwolf69 发布
[B]建议扩充物理内存,重新设定虚拟内存(一般为物理内存的两倍即可),另外试试重装iis,因为很多iis必要的服务都有问题.... [/B]

物理内存是512M,虚拟内存扩大到1024M

不知道是不是这个问题，理论上来说，IIS用不掉这么多的内存的阿！

不知道是否还有其他建议?

eygle

事实证明，以上方法无效

今天凌晨4点，机器又死了

eygle

现在又出了个新问题，inetinfo.exe随时占用100%的CPU
运行一会就死了？

救命阿!

chun811

别着急。一般是IIS没有打补丁原因，IIS补丁很多，我下班后帮你找找

chun811

http://microsoft.com/downloads/d ... &displaylang=en

jaunt

http://www.cns911.com/holes/www/0001.php

看来是中了病毒了。