none
Windows Server 2012 R2 - lsass.exe - RAM Problem RRS feed

  • Frage

  • Hallo Leute,

    habe hier bei einem Kunden Server das Problem das sich die lsass.exe gnadenlos mit Arbeitsspeicher voll frisst bis der Server neu gestartet werden muss. Habe den Process Explorer von Sysinternals installiert und gecheckt was den diese Dienst macht. Nach aktuell 20 Stunden Betriebszeit hat sich die lsass.exe auf 1GB RAM vollgefressen --> (1.182.340K / 2.341.033 Handles)

    Habe auch den Handle Viewer gechekt und es gibt extrem viel einträge von "Semaphore"... Hab aktuell keine Ahnung was das sein soll.

    Foto: https://we.tl/t-SDaqUGH1r7

    Habt Ihr eine Ahnung an was das liegen könnte? (Server wurde erst gestern aktualisiert --> somit alle Windows Patches installiert)

    LG Nettcode


    • Bearbeitet Nettcode Montag, 3. September 2018 06:11
    Freitag, 31. August 2018 13:41

Alle Antworten

  • lsass ist für die Anmeldung zuständig und ist auch häufig das Ziel von bruteforce-Angriffen.
    Vor sehr langer Zeit (1998/99) gabe es mal einen Angriff, der den Prozess beendete, was zur Folge hatte dass der PC nach 1 Minute runter fuhr. Das war immer dann nervig wenn man gerade ins Internet ging.

    Ggf. seid ihr da einem solchen Angriff ausgesetzt.

    Freitag, 31. August 2018 20:04
  • Hallo bfuerchau,

    danke für deine Rückmeldung!

    Habe das Netztwerk komplett mit einem ESET Antivirus durchgescannt und es wurde soweit kein Virus gefunden.

    Da ich leider immer noch nicht darauf gekommen bin was der auslöser der sache ist werde ich sehr wahrscheinlich ein Ticket bei Microsoft erstellen. eventuell finden die ja was...

    LG Nettcode

    Montag, 3. September 2018 14:18
  • Das ist kein Virus sondern ggf. ein sog. Brute-Force-Angriff von Aussen.

    lsass.exe = Local Security Authority Service.

    Ich würde da erst mal den Server vom Internet trennen und sehen, ob dann Ruhe einkehrt.
    Ansonsten eine Sniffer mitlaufen lassen um festzustellen, wieviele Anmeldeanfragen an diesen Server gehen und von wo diese kommen.

    Zur Behebung dann einen spzialisten zu Rate ziehen.

    Montag, 3. September 2018 14:40