Squire 222 Geschrieben 22. September 2008 Melden Teilen Geschrieben 22. September 2008 Hallo Leute, ich hab grad ne Herausforderung bekommen - eine Firma, die ich zu meiner Consultantzeit betreut und deren SBS ich aufgesetzt hatte hat mich kontaktiert. Folgedes Problem: SBS 2k3 - relativ aktuelles Patchlevel (August 2008) Raid 1 (Platten ok) Der Server akzeptiert keinerlei Anmeldungen mehr - weder von Clients noch an der Konsole oder via RDP. Er startet ganz normal bis zur Anmeldemaske. Bringt keinerlei Fehlermeldungen! (Exchange läuft auf alle Fälle noch - da mir die Kiste brav Statusmeldungen vom Plattenkontroller schickt). Dienste wie RAS, DHCP, DNS funktionieren auch - Clients können ins Internet Allerdings - keinerlei Anmeldungen möglich, kein Zugriff auf das Logon Share oder andere Shares bzuw. Drucker ... Am Server wurden keinerlei Änderungen vorgenommen - Updates werden nicht automatisch eingespielt sondern händisch. Ich hab folgendes bereits versucht: Abgesicherter Modus (mit/ohne Netzwerktreiber) - negativ Abgesicherter Modus (Eingabeaufforderung) - negativ Verzeichnisdienstwiederherstellung - negativ (es wurden keine Probleme angezeigt). Sicherung sollte vorliegen (die Kiste wird 1x wöchentlich auf Band mittels SBS Sicherung weggezogen - ich hab die letzten 4 Bänder da). Meine Idee wäre (nach dem Abendessen :D soviel Zeit muss sein) mir die Büchse mal mit einer Windows PE anzuschauen und zu prüfen ob was auf den Bändern drauf ist. Wenn die Sicherung am Freitag sauber ist, den Systemstate zurücksichern (denn am Samstag früh ging er noch). Spricht was dagegen, oder hat jemand nen anderen Tipp? Weil ohne böse Tools komm ich auf die Kiste nicht drauf. Mahlzeit erstmal .... Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 22. September 2008 Melden Teilen Geschrieben 22. September 2008 Hi, kannst Du Dich remote ggf. noch über die Computerverwaltung am System anmelden? Oder geht das auch nicht mehr? Falls ja, Fehler in den Eventlogs? Alle Dienste korrekt gestartet (NETLOGON, Server- / Arbeitsstationsdienst, KDC etc.)? Was genau heißt "keine Anmeldungen mehr"? Viele Grüße olc Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. September 2008 Melden Teilen Geschrieben 22. September 2008 Hm, so hat sich ein mir bekanntes System verhalten, nachdem der Arcserve SQL-Agent deinstalliert wurde ... http://www.mcseboard.de/windows-forum-ms-backoffice-31/achtung-arcserve-118027.html Zitieren Link zu diesem Kommentar
Squire 222 Geschrieben 22. September 2008 Autor Melden Teilen Geschrieben 22. September 2008 Nix - keine Anmeldung heißt, ich kann mich an der Konsole als Administrator mit dem korrekten PW nicht anmelden. Ebenso kann sich die User an ihren PCs nicht an der Domäne anmelden. Es werden beim Starten des Servers absolut keinerlei Fehlermeldungen angezeigt (also keine Dienst xyz konnte nicht gestartet werden) Kiste ist pingbar, RAS läuft, DNS so wie es ausschaut auch. Nur User und Admins läßt er nicht drauf ... sehr suspekt. An die Eventlogs komm ich nicht ran - weil hierfür müsste ich mich authentifizieren und das funktioniert ja nicht. Wie oben geschrieben - Exch schickt aber sauber Mails raus - per Outlook oder Webaccess geht aber nix. Was halt absolut seltsam ist, es ist nichts, aber auch wirklich nichts an der Konfig geändert worden oder Software installiert worden. Die rufen mich an und ich mach das ... letzte Softwareinstallation ist gut 1 Jahr her (von Updates mal abgesehen). Auf der Kiste läuft etrust AV in Version 7.irgendwas - soll halt möglichst nix kosten ... (wenigstens hat die Möhre ein Bandlaufwerk, Hardware Raid1 ...) Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 22. September 2008 Melden Teilen Geschrieben 22. September 2008 Nix - keine Anmeldung heißt, ich kann mich an der Konsole als Administrator mit dem korrekten PW nicht anmelden. Ebenso kann sich die User an ihren PCs nicht an der Domäne anmelden. Genau das meine ich: Wenn Du Dich beispielsweise an der Kiste selbst versuchst anzumelden, was passiert genau? "Nix" ist keine genaue Aussage. ;) An die Eventlogs komm ich nicht ran - weil hierfür müsste ich mich authentifizieren und das funktioniert ja nicht. Ok, also betrifft es nicht nur die interaktive Authentifizierung (oder Domänenanmeldung von Clients), sondern auch die Authentifizierung an RPC und SMB Ressourcen. Wie von Dir angemerkt könntest Du die Kiste mit Windows PE booten und einen Blick in die Ereignisprotokolle werfen. Vielleicht findest Du dort einen Hinweis. Ansonsten klingt der Tipp von ITHome ja ganz passend. Hat sich denn an dem System in letzter Zeit etwas geändert (besser gefragt: wurde etwas verändert)? Viele Grüße olc Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. September 2008 Melden Teilen Geschrieben 22. September 2008 Wie oben schon geschrieben habe ich sowas mal nach der Deinstallation von Arcserve gesehen. Der Systemstatus musste wiederhergestellt werden, da Arcserve bzw. dessen Deinstallation die Registry beschädigt hat ... Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 22. September 2008 Melden Teilen Geschrieben 22. September 2008 Hi, das Problem ist dabei nur, daß man den Systemstate nicht wieder zurücksichern kann, wenn man sich weder über das Netzwerk noch am System selbst anmelden kann. Oder läßt sich der Systemstate mittels PE wieder zurücksichern? Habe ich noch nie versucht - ich würde aber vermuten, daß das nicht so einfach möglich ist. Oder habe ich gerade einen Denkfehler? Viele Grüße olc Zitieren Link zu diesem Kommentar
Squire 222 Geschrieben 22. September 2008 Autor Melden Teilen Geschrieben 22. September 2008 Sinngemäß - falsches PW / unbekannter Benutzername kommt ... ich dachte an PE starten - Treiber für Bandlaufwerk einbinden und dann mittels NT Backup den Systemstate zurücksichern ... (ich hoffe das geht) Geändert wurde an der Kiste absolut nix! Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. September 2008 Melden Teilen Geschrieben 22. September 2008 Da hast Du recht, das war auch nicht so einfach. Wenn ich mich recht daran erinnere (ich hatte es fast verdrängt :D), habe ich das mit einer Parallelinstallation gemacht, den Systemstatus in einen alternativen Ort wiederhergestellt, die Registryfiles in den entsprechenden Ort kopiert und zum Schluss mit der wieder startenden Installation (abgesichert) einen vollständigen Systemstatusrestore durchgeführt. Zitieren Link zu diesem Kommentar
Squire 222 Geschrieben 22. September 2008 Autor Melden Teilen Geschrieben 22. September 2008 ok ... das wäre ne Alternative wenn es mit der PE nicht hinhaut ... möcht bloß wissen woher dieses Verhalten kommt ... Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 22. September 2008 Melden Teilen Geschrieben 22. September 2008 Hi, Sinngemäß - falsches PW / unbekannter Benutzername kommt ... ...was etwas anderes ist als "nix". :) ich dachte an PE starten - Treiber für Bandlaufwerk einbinden und dann mittels NT Backup den Systemstate zurücksichern ... (ich hoffe das geht) Also ich hätte jetzt getippt, daß das nicht so einfach ist. Aber gut, probieren geht über studieren. ;) Ich würde in jedem Fall mittels WIndows PE einmal in die Ereignisprotokolle des SBS hinein schauen - vielleicht bringt Dich das der Problemursache einen Schritt näher. Du findest Die *.evt Dateien unter "%SystemRoot%\System32\Config" - diese kannst Du unter Windows PE einfach in den Eventviewer laden. Geändert wurde an der Kiste absolut nix! Klingt ja wie immer. :) Nichts geändert außer............ und .................... :D Nein, Spaß beiseite - da bist Du Dir in Bezug auf die Aussage des Besitzers sicher, ja? (ich hatte es fast verdrängt :D) Das glaube ich auf's Wort, nachdem ich den anderen Thread gelesen hatte. :D habe ich das mit einer Parallelinstallation gemacht, den Systemstatus in einen alternativen Ort wiederhergestellt, die Registryfiles in den entsprechenden Ort kopiert und zum Schluss mit der wieder startenden Installation (abgesichert) einen vollständigen Systemstatusrestore durchgeführt. Ok, das würde passen. Zumindest, wenn es die Registry wäre, die die Probleme verursacht. Ich würde in jedem Fall versuchen, an die Eventlogs zu kommen. Viele Grüße olc Zitieren Link zu diesem Kommentar
Squire 222 Geschrieben 23. September 2008 Autor Melden Teilen Geschrieben 23. September 2008 So ... bin wieder in der Kiste drin ... des Rätsels Lösung: Der Server wurde gehackt! Da hwollte sich jemand eine Spamschleuder bauen ... hatte allerhand Software draufgezogen ... Angefangen von Acronis Server über MySQL, MassMailer, Plesk bis zu Passwort Hacktools Ich nehm mir die Kiste nachher mit ins Büro und schau mir das noch mal genauer an. Mein Ansatz war jetzt folgender: Rettungsinstallation in ein anderes Verzeichnis - Vom Band den Systemstate an alternative Position zurückgesichert. Die SAM der Originalinstallation überschrieben. Neu booten mit Originalinstallation im Verzeichniswiederherstellungsmodus und dann den Systemstate komplett zurückgesichert. Der Junge hat sich Mühe gegeben .. hatte sich zwei Benutzer angelegt einen "service" und einen IUSR (richtig schön mit Beschreibung IIS Adminkonto, Remoteverwaltung, etc. im Stil der Standard MS Beschreibungen). Der war Mitglied in allen Sicherheitsgruppen ... Das reicht erst mal ... Stellt sich halt die Frage ob man Anzeige erstatten sollte - seine IP hab ich :D da war er unvorsichtig - hat von Ausführen aus nach extern gepingt - der Zeitraum ist auch eingrenzbar ... So dann erst mal gute Nacht Zitieren Link zu diesem Kommentar
calibra22 10 Geschrieben 23. September 2008 Melden Teilen Geschrieben 23. September 2008 Guten Morgen, was mich jetzt als "Laie" interessiert ist, wie bist du jetzt auf den Rechner gekommen? via PE ?? Gehackt? via RDP-Console dann auf den Rechner ? Für Antworten wär ich sehr dankbar, betreue ebenfalls einen SBS-Server. Gruß Michael Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 23. September 2008 Melden Teilen Geschrieben 23. September 2008 Hi squire, "coole Sache", danke für Deine Rückmeldung. Wenn das System gehackt wurde, macht denke ich eine komplette Neuinstallation Sinn. Die Anzeige würde ich in jedem Fall machen - wenn da irgendwelcher Mist gelaufen ist sollte das vorher bekannt sein, bevor die Firma selbst beschuldigt wird. Viele Grüße olc Zitieren Link zu diesem Kommentar
Squire 222 Geschrieben 23. September 2008 Autor Melden Teilen Geschrieben 23. September 2008 So ... da bin ich wieder ... @Calibra22: Lies Dir meinen letzten Post oben durch - da hab ich beschrieben wie ich ins System reinkam @olc: Anzeige wollen sie nicht, da kein Datenverlust und sie Angst haben, dass die Polizei erstmal den Server haben will um die Sache zu analysieren (Bamberg ist wahrscheinlich Polizei-IT Provinz und bis die nen IT Forensiker beibringen ...) und das dürfte nicht unerheblich lange dauern - ich kann es verstehen - ist der einzige Server und ohne ihn steht halt das Büro ... So wie das aussah war der nette Hacker noch nicht ganz fertig mit seinem Projekt - die Kiste sollte wohl als Mailer fungieren. Nachdem der Systemstate von vor 2 Wochen eingespielt wurde und da das System definitiv sauber war sind alle evtl. Registryänderungen hinfällig. Die Software ist gekickt, alle "neuen" Accounts sind gekegelt, alle Passwörter auf dem Server, Router, etc. sind geändert ... Mal sehen - ich hab ihnen eine vernünftige Firewall (Astaro mit Network, Mail und Websecurity) ans Herz gelegt - entscheiden müssen sie ... für mich ist die Sache abgeschlossen. @All: Danke nochmal für die Tipps Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.