Täglichlerner

Ja, ich hab´s kapiert. Time is changing faster than i thought. Danke für alle wohlgemeinten Ratschläge.

Es sei denn, man ist masochistisch veranlagt :- Natürlich ist es besser, die Schotten antizipatorisch dicht zu machen und die Email-user zur Vorsicht aufzurufen. Aber da sitzen Menschen an den Kisten - unterschiedlichste Beweggründe zum Fehlgriff. Realität ist eben alles zwischen "worst case" und "oh, Datei weg". b***d wäre nur, wenn das "Emergency Response Team" einen auf Auslassungen aufmerksam macht, die man hätte bei Wissen vermeiden können.

ok, die Terminologie könnte ich noch verbessern. Daher thx für die Klarstellung. ERP mit SQL2016 und PowerShell-Script zum Export der DB alle 4 Std. Muss ich da nachsehen, ob zum Original eine Änderung stattgefunden hat? Sonst Makros kein Thema hier.

@NorberFe :- .. ich wollte mit dem DB-Beispiel sagen, dass eben alle Altdaten aus Sicherungen - wenn dann schon seit Monaten oder Jahren "unbemerkt" gehackt - sleeper - immer korrupt sein könnten. WO soll man da ein Zeit-Limit für "saubere" Daten setzen. Ja, selbst, wenn ich die letzte DCvm nähme und händisch in einen neu aufgesetzten DC das AD vom DCvm "abschreiben" würde - ich hätte also ein sauberes AD/DC - dann kämen ja irgendwann auch wieder die Übernahme von bis zum Hack-Screen gesicherten Unternehmensdaten wieder rein und so ein Schläfer schaut aus einem Client aus einem PDF-File raus und alles wäre wieder obsolet.

Klar kann man da spekulieren: jahre-, monatelange Infiltrierung. Dann kann man ja theoretisch ALLES vergessen. Selbst die Datenbanken von Wochen oder Monaten wären obsolet. Ich betrachte den letzten verbliebenen DC auch nicht als vertrauenswürdig. Nehme mal einen, der zwei, drei, vier Wochen alt ist (tombstone 365) und nicht im Netz war. Aber wie ist die Alternative: DCs neu aufsetzen und alle nötigen Einstellungen neu? Und was ist, wenn eine ERP Datenbank gehackt ist, ein Mitgliedserver/Fileserver mit einem PDF z.B.?? Läßt sich ein KMU für >100tsd ein Anti-Hacker-Team kommen?? Oder wieder Karteikarten?

Danke, auch DAS hat mir weitergeholfen. Gruß, Muriel

Danke. So habe ich es vor 2 Wochen in einer Testumgebung gemacht mit unter der Annahme, dass alles alte durch Ransom korrupt ist und das auch schon unbemerkt vor 2 Wochen passiert sein kann was die DCvm angeht: Bis hierher lief die Testung ohne sichtbare Macken durch. Kommt jetzt drauf an, wann die Daten korrupt wurden durch Hack und wie sauber die Sicherungen waren. Hoffe, euch nicht mit diesem Newbie-Teil zu sehr aufgehalten zu haben. Und noch mal vielen Dank allen !

Gut. Du meinst jetzt die Metadaten im verbliebenem DCvm mit Bezügen zu den plattgemachten Hardw.-DCs?

Ok, verstanden. Dann würde ich mich freuen, wenn ich ausschließlich zu diesem Punkt der gleichen Namen und IPs was hören würde. Und zwar ohne ;- würde gerne von cj-Berlin wissen: Er schrieb: "Physische DCs mit den alten Namen und IP-Adressen wieder promoten". Geht das wirklich so? Sind da nicht eigene SIDs der Maschinen, wenn ich nun nicht den "hardware "plattgemachten DC" neu aufsetze, sondern eine neue Hardware nehme? Bislang habe ich es testweise so gemacht: neue Hardware, neuer Name und IP, bei der "echten" DCvm angemeldet. Dann in der DCvm alle Metadaten der beiden korrupten DC gelöscht. Dann den hardware-DC promotet und in einem Test-Client (Image eines PROD-Clients) die DNS angepasst. Danke.

Moin, danke erst mal für eure hilfreiche Beteiligung. Wollte noch - bevor ich mit meiner ausführlichen Antwort und meinem Testbericht beginne - etwas von cj-Berlin wissen: Er schrieb: "Physische DCs mit den alten Namen und IP-Adressen wieder promoten". Geht das wirklich so? Sind da nicht eigene SIDs der Maschinen, wenn ich nun nicht den "hardware "plattgemachten DC" neu aufsetze, sondern eine neue Hardware nehme? Bislang habe ich es testweise so gemacht: neue Hardware, neuer Name und IP, bei der "echten" DCvm angemeldet. Dann in der DCvm alle Metadaten der beiden korrupten DC gelöscht. Dann den hardware-DC promotet und in einem Test-Client (Image eines PROD-Clients) die DNS angepasst. Also passiert nichts, wenn ich in den sauberen neuen DCs die gleichen Namen und IPs nehme? Ansonsten würde ich gerne den hier Beteiligten eine ausführlichere Beschreibung des Recovery anbieten, um auch auf eventuelle Lücken zu sprechen zu kommen. Sicher ist das hier für einen >50 Betrieb kein Thema, aber ggf. gibt es ja solche Leser von KMU, für die das interessant wäre? Muriel

Danke Dir für den Hinweis, dass AD recovery ein wichtiger, aber nicht einziger Schritt ist. Genau das habe ich ausdrücklich in meinem Text anklingen lassen (2. Abschnitt). Aber es geht mir hier jetzt ausschließlich um das AD und dessen Wiederherstellung mithilfe einer sagen wir 2-wochenalten VM (die offline war bei Hack) nach Verschlüsselung aller online gewesenen Geräte. DIE sind alle gebackuped und können supi neu aufgesetzt werden ohne Datenverlust. Meine Aufmerksamkeit gilt den laufenden DCs mit AD, die im angenommenen Fall auch verschlüsselt wären und meine Bitte wäre an euch, mir zu sagen "ist es eine Möglichkeit, die AD so wie beschrieben, wiederherzustellen"? Und was habe ich ggf. übersehen?

Fragen an die Wissenden und sorry, wenn´s in der falschen Abteilung gelandet sein sollte: In meinem kleinen Kreis laufen 2 physikalische DC und ein virtueller DC (alle 2019er). Die replizieren sich fehlerfrei. Jetzt denke ich an einen möglichen Ransomware Angriff und möchte nicht nur meine VMs, Client-Images und aktuelle DB-Files extern in Sicherheit bringen fortlaufend, sondern auch meinen virtuellen DC. Der Tombstone-Range der DCs ist auf 365 angehoben. 1. Annahme: ich dokumentiere alle Änderungen am DC (user, PWs, Berechtigungen etc.). 2. Ich kopiere den virtuellen DC ins OFF ausserhalb des Netzes. Merke mir das Datum. 3. Das mache ich z.B. so jede 2. Woche mit dem laufenden aktuellen VM-DC. Die Änderungen (user, PWs und Berecht.) liefen bei mir bislang bis auf PWs gegen Null. So weit so gut. 4. Jetzt mal angenommen die laufenden DCs (FSMO-Rollen hier) werden gehacked mit Ransomeware, dann würde ich sie platt machen. (Ein Image der phys. Maschinen VOR der Anhebung zum DC ist jeweils vorhanden und könnte zurückgespielt werden. (Name und IP würden erneuert später vor dem Promoten)) 5. Ich würde jetzt die letzte aktuelle (ggf. 2 Wochen alte) DC-vm starten und die FSMO Rollen forcieren. 6. Alle Infos der beiden platt gemachten DC aus der FSMO-DC-vm löschen. 7. Nun die beiden phys. Server nacheinander wieder mit geändertem Namen (also statt des alten DC1 nun DC1b) und geänderten IPs !! zum DC promoten. 8. die FSMO wieder auf einen phys. DC übertragen und die Infos der platt gemachten DCs überall dort löschen, wo sie auftreten. Dann checken, dass Repl. klappt. 9. Auf den ca. 10-15 Clients und Mitgliedsservern alle alten DC-Bezüge, d.h. DNS, neu anpassen. 9. Bis hierher nehme ich als Laie an, sollte das klappen. Jetzt meine Frage an euch: habe ich irgendwo einen krassen Gedankenfehler gemacht? Und sicherlich kann ich auch einen Hardware DC ausschalten und alle 2 Wochen zuschalten für ein paar Stunden, aber ich denke, einen virtuellen DC kann ich besser hin und her kopieren. Würde einer von euch mir den Gefallen tun, sich da mal reinzudenken, denn ich gehe davon aus, dass die Problemlage viele interessierte Mitglieder angehen könnte ( siehe letzter Hack in den USA). Im Voraus schon mal danke. PS: ich bin also keine ausgewiesene IT-Fachfrau - daher bitte bei AW daran denken.

Hallo Gemeinde - (liebe Mods, sollte das hier im falschen Forum stehen, bitte umswitchen. Danke) Ich würde mich freuen, wenn man mich hier im Forum auf die richtige Fährte setzen könnte bei folgendem Problem, das mir bevorsteht: Es handelt sich um eine kleine Firma, die noch 3-4 Jahre existieren wird, dann wird sie von einer größeren Firma mit eigenen Softwareanwendungen übernommen. In dieser Firma gibt es einen DC mit Windows 2000, auf dem auch seit Anfang 2000 eine recht teure Betriebssoftware läuft - bislang klaglos und effektiv. Die restlichen ca 15 PC in der Domäne sind XP-PRO Rechner. Nun kommt ja das Problem, dass MS ab 8.4.2014 nicht mehr mit Sicherheitspatches supported. Damit also entsteht ein noch größeres Risiko für die Domäne als bislang. Normal wäre ja nun die Clients zum Inet hin alle auf Win7 zu setzen. Doch darauf läuft die Betriebssoftware nicht mehr. Eine Investition in eine aktualisierte Version der laufenden Betriebssoftware mit allen Anpassungen, ganz nebenbei auch eine neue Serverhardware, dazu den einen oder anderen Client neu oder Win7-fähig machen, all das ist für diesen Zeitraum von 3-4 Jahren recht teuer (ca 30-40 tsd Euro) und noch nicht mal zukunftsweisend, da die Übernehmefirma in 3-4 JAhren ihre eigenen Betriebssoftware drüberstülpt. Meine erste Frage ist: gibt es eine Möglichkeit, das bisherige Netz mit W2K-DC und XP-Clients so weiterlaufen zu lassen die paar Jahre - dann aber den internetseitigen Datenverkehr auf die nötigen neuen 5 Laptops mit Win7 in einem total separaten Netz laufen zu lassen? Evtl. Datentransport ins „ungeschützte“ Netz über USB-Sticks? Das wären CAD-Zeichnungen von Kunden, die der Betriebssoftware zugänglich gemacht werden müssen. Ich will also eine Regelung, die irgendwie „fast“ ***ensicher ist. Router-PC mit zwei NIC für je ein Netz, der dann als Firewall fungiert, aber eben auch konfiguriert und „dicht“ gemacht werden müsste, ist wohl mE nur so sicher, wie man ihn abdichtet, oder? Ich brauche hier als Hilfe keine Step by Step-Beschreibung, sondern erst mal einen Gedankenanstoß, in welche Richtung ich mich schlau machen sollte und was in diesem, meinem geschilderten Szenario sinnvoll wäre. Dafür schon mal vielen Dank. Muriel

Danke für die schnelle Antwort. Nein, ich will beide PC NICHT parallel laufen lassen. Ich habe auch das Acronis Workstation bzw. Servertool mit Universal Restore genutzt. So weit alles im grünen Bereich. Was ich nur nicht genau wußte war, ob die neue Maschine (anstelle der alten) mit gleicher IP und Namen beim ersten Einloggen des einzigen Maschinen-Users in die vorhandene Domäne nicht doch ein neues Profil mit 000 verpasst bekommt und ich alle alten Profil-Einstellungen neu setzen muss. Dazu hätte ich gerne einen Hinweis für die richtige Vorgehensweise gefunden. Gruss Mysts Freundin "Täglichlerner"

Dank dir. Das leuchtet mir ein mit der veränderten Portadresse. Dann hoffe ich mal, dass dies hier vielleicht noch einer liest, der mal ähnliche Erfahrungen gemacht hat. Jedenfalls habe ich alle PC nach Malware gescannt aber nichts gefunden. Reicht da so was wie Pestptrol8?

Ja, den user hab ich schon befragt. Du kannst zwar nicht reinsehen in die Birne, aber ich schließe das aus. Hab inzw. auch recherchiert, dass sich grundsätzlich an der dyndns Adr. gerne auch Hacker und solche, die es gerne wären, versuchen. Was dann ja gegen den Service sprechen würde. Gibt´s dazu hier Erfahrungen, was da dran ist? Wäre dann ne feste IP sicherer?? Und mein Laienverständnis sagt mir, wenn eh die Ports durchgesnifft werden, wo ist der Vorteil, wenn der Dienst einen benutzerspez. exotischen Port bekommt? Die Sache mit den Rechten auf dem Zugangsrechner ist jetzt von Admin (ja, ich weiß, war dumm) auf Benutzer gestellt worden. Aber das ist hier keine Firma, sondern ein kleiner Club edv-interessierter Rentner, die sich hier treffen und ein wenig in die PC-Materie einleben. Daher auch für mich die Notwendigkeit, mal per Fernwartung einzugreifen. Ich sehe mich da eher als Einäugigen mit Brille unter Gleichen ohne Brille ;)

erstmal danke. Ich habe Pestpatrol drüber laufen lassen, das Verz. psybnc in WINNT geschreddert und die Reg nach psybnc gescannt und gereinigt. Sicher ist jetzt auch das Admin PW verändert und verbessert worden. Das VPN-Thema sollte später für mich interessant sein. Zunächst mal würde ich aber gerne erfahren, WAS abgelaufen ist, damit solch eine Sch... auf dem Client passierte. Man muss doch den dyndns-Namen kennen? Man muss doch das VNC Pass kennen? Dann muss man doch auch das NT-Einlogg PW kennen? oder ist das zu blauäugig gedacht? Kann man das auch mit einem Scanner - gleich welcher Art - abrufen? Vielleicht kann man mir auch konstruktiv sagen, WO ich (ohne VPN) Sicherheitsmängel habe. Danke

Hallo, Vor 5 Tagen war etwas Merkwürdiges passiert: auf einem w2K-Client, der in einer Domain läuft, lief RealVNC Enterprise 4.1.9. VNC Passwort Authenticication war gesetzt (Buchst.-Zahlen-Combi), der Client selbst gesperrt und nur mit NT-Pass zu öffnen; Port 5900 auf dem Router für diesen PC freigegeben; da dyn IP läuft alles aus dem WAN über dyndns.org; Alles lief seit einiger Zeit ohne Störung. Von einem Tag auf den anderen war remote plötzlich kein Einloggen mehr möglich, weil der VNC Server nicht gefunden werden konnte. Vor Ort entdeckte ich Folgendes: In der Autostart war seit 1.11.06 (tägl. Image vorhanden - 31.10. war sauber) psybnc.exe Das Directory psybnc mit files und Unterordner war in WINNT insatalliert worden. Die dort gefundene psybnc.conf enthielt diese EInträge: PSYBNC.SYSTEM.PORT1=5900 PSYBNC.SYSTEM.HOST1=* PSYBNC.HOSTALLOWS.ENTRY0=*;* USER1.USER.LOGIN=BARCA USER1.USER.USER=-=- F.C.BARCELONA -=- USER1.USER.PASS==`Z's1F150N'n1E'V'9 USER1.USER.RIGHTS=1 USER1.USER.VLINK=0 USER1.USER.PPORT=0 USER1.USER.PARENT=0 USER1.USER.QUITTED=0 USER1.USER.DCCENABLED=1 USER1.USER.AUTOGETDCC=0 USER1.USER.AIDLE=0 USER1.USER.LEAVEQUIT=0 USER1.USER.AUTOREJOIN=1 USER1.USER.SYSMSG=1 USER1.USER.LASTLOG=0 USER1.USER.NICK=rhcpz00r USER1.SERVERS.SERVER1=irc.freenet.de USER1.SERVERS.PORT1=6667 USER1.CHANNELS.ENTRY1=#barcek USER1.CHANNELS.ENTRY2=#evil****erz USER1.CHANNELS.ENTRY3=#avto.net USER1.CHANNELS.ENTRY4=#alkoholik USER1.CHANNELS.ENTRY5=#žurka USER1.CHANNELS.ENTRY0=#kuvajt ________ Da ich nur alleine offiziell Zugriff auf die Kiste habe und ich das nicht installiert habe, frage ich mich, WIE DAS enstanden sein kann. Ich habe hier alles über RealVNC abgegrast, habe auch nach psybnc gegoogelt, habe aber keine Ahnung, was Bouncer und Co bedeuten. Denke aber, das das schon recht ungewöhnlich ist, dass so etwas passieren kann. Wie kann ich mich - wenn ich weiter die neue Version RealVNC Enterpr. 4.2.7 nutze, zukünftig gegen solche Zugriffe schützen (wenn ich keinen VPN-Tunnel aufbauen möchte/kann dafür? Euer Täglichlerner PS. mich wundert es wirklich nicht sehr, dass hier gerade die sog. "greetz"-Leute immer wissen wollen, wie man Tray-Icons von VNC verstecken kann. Wollen die noch unbemerkt remote an den Rechnern arbeiten, obgleich der lokale user gerade davor sitzt???

IThome, danke erst mal. was das IPenableRouter angeht, hatte ich für diese Konstellation hier schon Zweifel angemeldet. Aber dass da gar nichts ging, obwohl im Gerätemanager alles ohne Konflikte angezeigt wurde, kam mir merkwürdig vor und ich habe die 2. Karte in einen anderen Slot gesteckt. Siehe da, erster Erfolg Hier ipconfig /all (IPEnableRouter ist noch auf 1) Windows 2000-IP-Konfiguration Hostname. . . . . . . . . . . . . : pcprod2 Prim„res DNS-Suffix . . . . . . . : xyz.LOCAL Knotentyp . . . . . . . . . . . . : Hybridadapter IP-Routing aktiviert. . . . . . . : Ja WINS-Proxy aktiviert. . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : xyz.LOCAL Ethernetadapter "LAN-Marvell1000": Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Marvell Yukon Gigabit Ethernet 10/100/1000Base-T Adapter, Copper RJ-45 Physikalische Adresse . . . . . . : 00-0D-61-4B-58-42 DHCP-aktiviert. . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 200.11.3.249 Subnetzmaske. . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 200.11.3.7 DNS-Server. . . . . . . . . . . . : 200.11.3.99 Primärer WINS-Server. . . . . . . : 200.11.3.99 Ethernetadapter "LAN-DLink100": Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.A) Physikalische Adresse . . . . . . : 00-50-BA-2C-49-8A DHCP-aktiviert. . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.200.32 Subnetzmaske. . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : DNS-Server. . . . . . . . . . . . : Das sieht doch schon mal nicht schlecht aus. Dann habe ich noch mal ROUTE PRINT angestoßen: =========================================================================== Schnittstellenliste 0x1 ........................... MS TCP Loopback interface 0x1000003 ...00 0d 61 4b 58 42 ...... Marvell Gigabit Ethernet Adapter 0x1000004 ...00 50 ba 2c 49 8a ...... D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.B) =========================================================================== =========================================================================== Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl 0.0.0.0 0.0.0.0 200.11.3.7 200.11.3.249 1 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.200.0 255.255.255.0 192.168.200.32 192.168.200.32 1 192.168.200.32 255.255.255.255 127.0.0.1 127.0.0.1 1 192.168.200.255 255.255.255.255 192.168.200.32 192.168.200.32 1 200.11.3.0 255.255.255.0 200.11.3.249 200.11.3.249 1 200.11.3.249 255.255.255.255 127.0.0.1 127.0.0.1 1 200.11.3.255 255.255.255.255 200.11.3.249 200.11.3.249 1 224.0.0.0 224.0.0.0 192.168.200.32 192.168.200.32 1 224.0.0.0 224.0.0.0 200.11.3.249 200.11.3.249 1 255.255.255.255 255.255.255.255 200.11.3.249 200.11.3.249 1 Standardgateway: 200.11.3.7 =========================================================================== Ständige Routen: Keine ______________________________________________ Die Werkzeugmaschinen werden angesprochen. Problem scheint gelöst. Danke. Kommt das Problem mit Nics und PCI-Slotwechsel eigentlich öfter vor?

Hallo, bin neu hier und blicke ein Thema mit 2 Netzwerkkarten in einem PC nicht. Habe auch gesucht, aber mir fehlen die rechten Stickworte. Daher mein Hilferuf hier: In einer w2k-Domäne existiert ein PC (IP 200.11.3.247), der absolut super im Netz läuft. Jetzt soll dieser PC Steuerungsaufträge an diverse Werkzeugmaschinen liefern. Diese Maschinen werden von einem Switch "bedient" - der Switch hängt an einer 2. Netzwerkkarte, die ich in den PC 200.11.3.247 eingebaut habe. Die Werzeugmaschinen laufen im Netzsegment 192.168.200.11 (bis 17) Also habe ich der 2. Netzwerkkarte die IP 192.168.200.33 gegeben. Fasse zusammen: 1. NEtzwerkkarte 200.11.3.247 255.255.255.0 Gateway 200.11.3.7 2. Netzwerkkarte 192.168.200.33 255.255.255.0 Gateway leer Wichtig noch: Die Maschinen, die an der 2. NEtzwerkkarte hängen, sollen NUR von diesem einen PC aus gesteuert werden. Das "Maschinennetzsegment" braucht in der Domäne ansonsten NICHT gesehen/angesprochen werden. Ich habe vorsorglich schon mal auf dem 200.11.3.247 - w2k-Client IP Forwarding in LocalMAschine .....TCPIP/Parameter auf 1 gesetzt. Mußte das sein?? Ist bisher alles richtig gemacht worden, oder ist da ein Gedankenfehler? Fehlt noch der ROUTE -p ADD Befehl? (Wenn ja, wie müßte ich in meinem Fall das genau schreiben? DENN , nun habe ich aber das Problem, dass ich keinen Ping vom PC 200.11.3.247 an seine 2. NEtzwerkkarte bekommen kann. Bin im Moment ein bisschen verschleiert im Kopfe, denn das Ding sollte am Montag funkionieren. Daher meine Bitte ans Forum um Beistand. Muriel