carnivore 10 Geschrieben 24. November 2006 Melden Teilen Geschrieben 24. November 2006 zumindest auf Band wohl noch die root-Domain. Gruss carnivore Zitieren Link zu diesem Kommentar
carsten.m 10 Geschrieben 24. November 2006 Melden Teilen Geschrieben 24. November 2006 Wenn du einen weiteren DCin der Hauptdomäne hattest, gibt es doch die möglichkeit die Rollenübernhame zu erzwingen auch wenn DC1 nicht mehr verfügbar ist oder bin ich da falsch informiert? Dana chhättest du einfach den DC1 aus der Domäne entferhnen können, neu aufsetzten und als weiteren DC wieder eingliedern können. Sry für die Anmerkung jetzt, aber wozu hast du den zweiten scheinbar völlig intakten Domänencontroller neu aufgesetzt? er diente doch dazu als backup zu fungieren wenn DC1 ausfällt und enthielt ja sämmtliche root-domain infos und normalerweise sollte man doch mehrere Sicherungen nicht nur vom vortag haben ;) ansonsten schließe ich mich meinen vorrednern an, system state aufspielen, neu aufsetzten.. oder proffessionelle hilfe Zitieren Link zu diesem Kommentar
judith 10 Geschrieben 24. November 2006 Autor Melden Teilen Geschrieben 24. November 2006 Hallo, vielen Dank für die noch reichlichen Wortmeldungen und Vorschläge. Das Prob war ja, dass wir beim Sichern nicht gemerkt haben, dass die AD absolut futsch gegangen ist. Viele Sachen kamen wie ein großer Brocken auf einmal zusammen. Als wir merkten daß das System im Eimer war, haben wir uns vorbereitet, die Rollen zu übertragen. Da ging noch alles reibungslos. netdiag, dcdiag, frsdiag, DNS Replikation des AD usw. Fehler über Fehler. Rootkits in 10.000 er Mengen in der Rgistry, Mengen an FTP Servern, TFTP-Server, Telnet Server waren drauf, Remote Zugänge haben wir gefunden mit Adressen aus China. Mensch hatten wir geschwitzt und gezittert! Und die Appliance hat nichts bemerkt. Just in diesem Moment ereilte uns ein Stomausfall bei der ENBW. Dabei hat sich dann auch gezeigt, dass die APC im Eimer war und der erste DC abgestürzt ist. Danach ging nichts mehr. Anmeldungen nicht mehr möglich. Verzeichnisse öffnen nicht mehr möglich (auf den beiden laufenden Server selbst) Die Bänder haben keinen funktionierenden System State mehr drauf. Das wurde schon geprüft. 2 Externe Dienstleister waren schon da. Ein dritter heute morgen hat auch abgewinkt, da sei nichts mehr zu machen. Sag ich doch meint der Chef, das müssen wir dann auch können. Einen vierten Versuch macht er nicht (da war ein ganz großer da mit blendendem Namen) Einer gab zu, daß ihm die Sache zu heiß sei, wegen dem Produktionsrechner. Der kann auch nur mit Hilfe des Programm Herstellers wieder flott gemacht werden. Es werden darauf die Produktionsvorstufen für Hochdruck-Pumpensysteme geplant und produktionstechnisch umgesetzt (PPS). Un noch funktioniert der ruckzuck. Der Hersteller kommt dann zwischen den Jahren und macht das mit uns zusammen. Fatal war noch. Wir haben zwar die Sicherungen überprüft, aber nichts festgestellt bei der Routine. Jetzt muss ein audit her. Mit den bisherigen Vorgaben können wir nicht weiter sofglos weitermachen. Die HDD wurden inwzischen zu einem Virenspezialisten geschickt. Ich danke jedem einzelnen für seinen Einsatz und schließe die Bitte an, wieter Rat suchenden zu helfen wo immer Ihr könnt. Gruß Judith Zitieren Link zu diesem Kommentar
judith 10 Geschrieben 24. November 2006 Autor Melden Teilen Geschrieben 24. November 2006 Hi,iNetter Chef, übrigens. Dem scheint nicht viel an seiner Firma zu liegen oder ihr seid nicht sonderlich von EDV abhängig. Gruß und viel Glück woiza Hallo woiza, der ist supergeizig, das kann man sich nicht vorstellen. Da muss man um jede "Diskette" kämpfen bis was kommt. Hallo Jungs, kam gerade von den Experten rein was es genau war und die Erklärung von Sophos dazu. Backdoor.Win32.ServU-based.gen Type Malware Type Description Malware ("malicious software") consists of software with clearly malicious, hostile, or harmful functionality or behavior and that is used to compromise and endanger individual PCs as well as entire networks. Category Backdoor Category Description A Backdoor is a software program that gives an attacker unauthorized access to a machine and the means for remotely controlling the machine without the user's knowledge. A Backdoor compromises system integrity by making changes to the system that allow it to by used by the attacker for malicious purposes unknown to the user. Level High Level Description High risk threats are typically installed without user interaction through security exploits, and can severely compromise system security. Such threats may open illicit network connections, use polymorphic tactics to self-mutate, disable security software, modify system files, and install additional malware. These threats may also collect and transmit personally identifiable information (PII) without your consent and severely degrade the performance and stability of your computer. Advice Type Remove File Traces 7beae0cf82301b89cb243f5bf6b0494c.EXE iissrvs.exe jasfv.dll omnithread_rt.dll secure.exe svchost.exe svhost.exe Ich glaube da gabs wirklich nichts mehr zu retten. Gruß Judith Zitieren Link zu diesem Kommentar
Oppossum 10 Geschrieben 24. November 2006 Melden Teilen Geschrieben 24. November 2006 Hallo Judith, das ist ja mal ein Supergau. Da ist man mal eine Woche nicht im Board und da sowas. Wirklich helfen kann ich Dir auch nicht, die Vorredner haben eigentlich schon alles gesagt. Ich kann Deinem Chef nur raten mal einen Tausender in eine vernünftige Imagingsoftware zu investieren. Mal abgesehen davon macht es wirklich Sinn sich Gedanken über eine vernünftige Backupstrategie zu machen. Was bringt es am falschen Ende zu sparen, wenn man im Anschluss tagelang Ausfälle kompensieren muss? Ich arbeite als freier Consultant und benutze Acronis True Image Server um vor dcpromo und einmal nach dcpromo ein sauberes Image von der Installation zu ziehen. Die Sicherungs DVD´s mit den Images kommen in den Safe und gut ist(wobei natürlich auch Bandlaufwerke unterstützt werden); eine Kopie von den Images wird auf einen nicht am Netz hängenden Rechner kopiert, der gegen unberechtigten Zugriff geschützt ist. Der Herstellungsaufwand beläuft sich auf gerade mal 10 bis 20 Minuten, je nach dem wie schnell Deine Maschine ist. Im Anschluss ein mal neu booten und der aktuelle Zustand der Gesamtstruktur inklusive alle Domains läuft wieder sauber und reibungslos. Je nach Größe und Änderungen innerhalb der Domains würde ich regelmäßig ein solches Image ziehen, um schnellsmöglich verschiedene Zustände wieder herstellen zu können. Bei meinen Kunden hat sich diese Vorgehensweise bewährt und schon so manchen vor dem Datengau bewahrt. Gruß Oppossum Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 24. November 2006 Melden Teilen Geschrieben 24. November 2006 Hi opossum, das Image bringt dir aber nichts, wenn dir die Kiste nach nem Jahr abschmiert. Sinnvoller ist es, eine vernünftige Backupstrategie zu entwickeln und dies auch regelmäßig im TestLan zu verproben (Firedrill). Gruß woiza Zitieren Link zu diesem Kommentar
Oppossum 10 Geschrieben 24. November 2006 Melden Teilen Geschrieben 24. November 2006 Hi woiza, deswegen habe ich ja auch geschrieben, je nach Änderungen regelmäßig ein Image zu machen. Ich stimme mit Dir vollkommen überein, dass man im TestLAN Sims fahren sollte. Zur Backupstrategie hatte ich was gesagt. Images können aber helfen schnell wieder ins Spiel zu kommen, einen sinnvolle Backupstrategie ersetzen sie nicht. Gruß Oppossum Zitieren Link zu diesem Kommentar
Das Urmel 10 Geschrieben 24. November 2006 Melden Teilen Geschrieben 24. November 2006 Images können aber helfen schnell wieder ins Spiel zu kommen, Nur wenn man es richtig macht, ansonsten läufst du fix in den USN Rollback und Ruhe ist. eine sinnvolle Backupstrategie ersetzen sie nicht. Die da lautet:= Systemstate & export des AD mit csvde. Zitieren Link zu diesem Kommentar
judith 10 Geschrieben 4. Dezember 2006 Autor Melden Teilen Geschrieben 4. Dezember 2006 Hallo Leute, nett daß noch Meldungen gekommen sind. Das mit Image hätte mir nur dann was gebracht, wenn ich noch Zugriff gehabt hätte, denn es waren ja alle 2 DC weg. Mit dem CSVDE haben wir auch noch geprüft, aber wir konnten keinen Kontakt mehr herstellen. Man könnte sagen die Domäne war zu 100% im Eimer und auch die Bänder waren voll versuchet. Die beiden Hosts waren einfach tot und der Systemstatus auf den Bändern nicht mehr brauchbar. Ein Dienstleister hat noch wichtige Daten rücksichern können, damit waren wir vollständig. **** nur mit dem sauberen DC in der Unterdomäne. Den machen wir dann in 4 Wochen. Das hat jetzt echt Kohle gekostet und unser Chef dreht sich auf einmal um fast 180 Grad (nur fast!). Backup Strategie ist inzwischen geändert. Ansonsten wird noch stark aufgerüstet, also zusätzliche Spam Software wird installiert usw.... Grüße von Judith an alle. Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 4. Dezember 2006 Melden Teilen Geschrieben 4. Dezember 2006 Naja, ich frage mich, wie überhaupt auf einen DC dermaßen viel Malware kommen konnte? :shock: Habt ihr vom DC aus gesurft?! :suspect: Mit den 180°: Manche müssen erst in eine mittlere Katastrophe rutschen, bevor da mal was in die Sicherheit investiert wird... Christoph Zitieren Link zu diesem Kommentar
judith 10 Geschrieben 18. Dezember 2006 Autor Melden Teilen Geschrieben 18. Dezember 2006 Naja, ich frage mich, wie überhaupt auf einen DC dermaßen viel Malware kommen konnte? Habt ihr vom DC aus gesurft?! Mit den 180°: Manche müssen erst in eine mittlere Katastrophe rutschen, bevor da mal was in die Sicherheit investiert wird... Christoph Hallo Christoph35, nein. Gesurft wird mit den Maschinen nicht. Die stehen gut gesichert im Schrank und es gab bisher nur 3 Leute mit Zutritt. Die schließen auf und beim Abgang wieder zu. Allerdings kann ich nicht ausschließen, daß von den beiden anderen die Zutritt haben alle reinen Gewissens sind. Erklärbar ist es auf keinen Fall. Was auch immer da abgelaufen ist, es gibt in Zukunft nur noch einen einzigen Schlüssel für den Boss und einen für mich. Die beiden anderen Admins wurde "entfernt". Dennoch würde ich gerne herausfinden, was abgelaufen ist, wie das kommen konnte. Das ist ja der reinste Horror. Vielleicht hat noch jemand mal so etwas erlebt und erinnert sich. Würde mich jedenfalls freuen. Gruß von Judith Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 18. Dezember 2006 Melden Teilen Geschrieben 18. Dezember 2006 Hallo Zusammen Es haben sicher so viele Leute Ihren Kommentar und Tipps abgegeben was und wie man die Sachen retten könnten. Seit länge rschon bin ich im Active Directory Business tätig und ich hatte grad in diesem Jahr ein Disaster Recovery Konzept für ein Grosskonzern geschrieben und getestet. Leider war dies im Frühling und nach Einführung eines neuen Virenscanners im Herbst (welcher Service orientiert arbeitet) kann man wieder von vorne beginnen. Nur so als Beispiel wie vertrakt das werden kann. Eines zeigt mir diesen Post klar und deutlich: Die zentrale der Active Directory und Ihre Tücken werden in weitesten Teilen unterschätzt. Da Geld zu sparen ist der falsche Approach. Dein Jefe hat nur zwei Möglichkeiten: Entweder er nimmt Geld in die Hand das dies wieder läuft oder er nimmt Geld in die Hand, dass alle Ihre Daten neu erstellen. Um jedoch nicht nur Schleichwerbung zu machen, ich sehe den authoritiativen AD restore (restore von ntbackup de system state) als nahezu einzige Möglichkeit. So lange das Gerät baugleich (gleiche Devices, Raidcontroller, Hardware) hat funktioniert das eigentlich immer. Dies kann im absolut isolierten Netz stattfinden. Ein online Virenscann währenddem ntbackup läuft würde ich keinenfalls machen, active directory ist eine ordentlich alte Datenbank (Exchange JetEngine 5.0) da brauchts nit viel. Schreibe mir ne PN ich habe eine Checkliste für das oder auch einen guten Buchtipp (mit praktischem Beispiel). - sogar auf Deutsch: O Reilly - Active Directory Version 3.0 Die FSMO Rollen können auch gesized werden allerdings muss man dies vorsichtig angehen. Auch würde ich einen semantik test der AD machen. Bei Interesse schick mir ne PN dann gebt ich dir meine Skype Kennung. dann könnten wir uns das mal anschauen. Grüsse Matthias Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.