Windows-сервер перезагружается из-за ошибки BugCheck, что делать?

Question

[Артем]

Windows 2012 Server R2 периодически перезагружается с ошибкой BugCheck. Код ошибки: 0x00000050 (часто) или 0x000000c5, 0x00000019, 0x00000018, 0x000000d1 (редко).
Системник хороший, на серверном железе:

Диски сконфигурированы вот так:

Что было сделано:

• переустановлено большинство драйверов со стандартных на вендорские (при помощи Snappy)
  
• естественно, chkdsk всех дисков
  
• подозревал на взлом - проверил всё касперским, поставил outpost firewall, antimalware - ничего обнаружено не было
  
• установил все обновления Windows через Центр обновлений
  

BlueScreenView показывает следующее:

Как интерпретировать, к сожалению, не знаю - не хватает админской квалификации.
На момент перезагрузки работают довольно тяжелые процессы, но, имхо, не должен же сервер из-за этого перезагружаться - он же, в конце концов, предназначен для постоянной работы с приложениями под любой разумной нагрузкой.
Также в системе есть папка, в подпапках которой находится больше 850 тыс. файлов. Не думаю, что причина в этом - NTFS вроде позволяет намного больше, но вдруг...
Помогите, пожалуйста, распознать и устранить проблему.

Answer 1

[Артем]

В общем, это жесть какая-то...
Сегодня получил левел-ап в администрировании Windows )
Скачал Windows Drivers Kit, с помощью WinDbg и набора символов проанализировал последний дамп.
Оказалось, что сервер падает из-за открытых портов SMB. Это какая-то новая уязвимость Windows, под которую по-моему еще даже обновление не вышло (или вышло, но мне не пришло). Закрыл порты и удалил SMB1 из набора компонентов Windows - полдня полёт нормальный.
Подробнее, если кому нужно, можно почитать здесь или здесь. Ситуация довольно нетривиальная (лично для меня), поэтому решил здесь опубликовать результат её решения.

Comments

[vreitech]

как файлы поживают? не зашифровались? а то сегодня на хабре про эту уязвимость вроде как писали.

[Артем]

нет, я когда эту уязвимость обнаружил у себя на сервере - тогда, видимо, только пробивали возможность её использования и сервера всего лишь уходили в ребут
я проблему устранил, а заражение началось уже позже
сервера работают нормально, ничего не зашифровано

Answer 2

[Максим Гришин]

Проверьте аппаратную память (memtest или что сейчас есть более продвинутое сейчас). Рандомные bugcheck'и обычно свидетельствуют о том, что память где-то не хранит данные. Эту проблему ещё и усугубляет ASLR, который в сбойный блок памяти может записать код или данные вообще любого процесса.

Answer 3

[vreitech]

больше всего похоже на проблемы с ОЗУ. проверьте оперативку с помощью загрузочного диска с memtest.