Web siteleri ve Web uygulamaları Internet Information Services (IIS) uygulama havuzlarının kullanılabilirliğine bağlıdır. IIS uygulama havuzları da Windows İşlem Etkinleştirme Hizmeti'ne (WAS) bağlıdır. WAS çalışmıyorsa veya bir uygulama havuzunun başlatılması veya kapatılması sırasında hata oluşuyorsa, Web siteleri ve Web uygulamaları kullanılamayabilir.
Güvenilmeyen bir çalışma işlemini denetleme
Bir çalışan işlemi, Windows İşlem Etkinleştirme Hizmeti'ne (WAS) beklenmedik bazı veriler gönderdi. Kullanıcı kodu, çalışan işleminde zararlı etkinliklerde bulunmayı deniyor olabilir ve iletişim kanalının denetimini ele geçirmiş olabilir. Örneğin, kullanıcı kodu çalışan işlemi için WAS'ye ikinci bir işlem kimliği veya doğru biçimde olmayan performans sayacı sayıları gönderiyor olabilir. Bu, WAS'de bir arabellek taşması oluşturma girişimi olabilir.
Bu sorunu gidermek için çalışan işlemini inceleyerek şüpheli kullanıcı kodu içerip içermediğine bakın. Yüklenen modülleri denetleyin. ISAPI veya üçüncü taraflara ait modüller çalıştırılıyorsa, daha fazla bilgi için modüllerin satıcısına başvurun.
Target | Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool |
Category | Alert |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider | Default |
Filter | ConditionDetection | Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter | Default |
WA | WriteAction | Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription | Default |
<Rule ID="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS" Enabled="true" Target="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>Alert</Category>
<DataSources>
<DataSource ID="DS" TypeID="Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider">
<LogName>System</LogName>
</DataSource>
</DataSources>
<ConditionDetection ID="Filter" TypeID="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter">
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>5127</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-WAS</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</ConditionDetection>
<WriteActions>
<WriteAction ID="WA" TypeID="Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS.AlertMessage"]$</AlertMessageId>
</WriteAction>
</WriteActions>
</Rule>