vSphere: virtueller Server wurde von selbst auf einen Snapshot zurückgesetzt > wie möglich?

[andrew 15]

Guten Morgen allerseits

 

Situation

1. Von der IT war Niemand im Geschäft,

2. Niemand von der IT hatte per remote aus dem Homeoffice gearbeitet, da die IT Ferien technisch abwesend war.

3. Es besteht oder bestand auch nie die Möglichkeit, dass man hätte von extern irgendwie auf das Firmennetzwerk zugreifen können, da nach meinem Wissensstand keine Server per remote zugänglich sind oder wären.

4. Wenn eine externe Firma einen Zugriff auf ein Server System braucht, weil Sie z.B. Ihre Software Lösung updaten müssen/ die Konfiguration anpassen, dann muss jede, externe Firma uns anrufen und wir lassen Sie per Team Viewer drauf.

5. Punkt 3 & 4 gilt auch für unseren, externen Informatik Partner. Auch diese haben gemäss eigener Aussage keine Möglichkeit, unbeaufsichtigt auf irgend ein Server System und oder einen PC per remote ohne Einwilligung zuzugreifen.

 

 

(Sicherheit) Vorfall ist passiert

Am Tag X, am Morgen früh, meldet sich die Personal Verantwortliche bei der Verantwortlichen Person der IT-Abteilung und meldet, dass Sie im Lohnsystem nur noch den Stand hätte, welcher Monate zurück liege.

Bald merkte man auch, dass die Zeit Stempelungen nicht stimmen, dass man auch hier einen Stand vorfand, welcher Monate in der Vergangenheit lag.

 

Das "Unheil" nahm seinen Lauf und leider merkte ich schnell, dass der virtuelle Server X betroffen sein musste. Schnell versuchte ich mich per RDP auf den Server zu verbinden, was mir aber nicht gelang (eine Fehlermeldung erschien, welche mir nicht geläufig war und ich wurde stutzig)

Als ich mich im vSphere Client der VMware Infrastruktur einloggte und für den besagten, virtuellen Server X die Remote Konsole innerhalb des vSphere Clients startete, um mir endlich Zugang auf den Server verschaffen zu können, staunte ich nicht schlecht, als ich folgende Meldung sah "Die Vertrauensstellung zur Domäne ist nicht mehr vorhanden > sinngemässe Übersetzung"

 

Eine Bemerkung zum Thema "Die Vertrauensstellung zur Domäne ist nicht mehr vorhanden": Ich habe beim Mutterhaus in der IT-Abteilung (wir sind eine weltweit, tätige Firma mit zentraler IT- Verwaltung in Deutschland) und eigener IT vor Ort, hier in der Schweiz) schon seit Monaten ein offenes Support Ticket, wo ich die Problematik wegen der Vertrauensstellung bei uns lokal im LAN festgestellt hatte, der zentralen IT in Deutschland gemeldet.

Bis heute hat man nur Vermutungen, an was es liegen könnte, hat aber die Ursache dieses Problems noch nicht herausgefunden bzw. versucht, mit der lokalen IT der Schweizer Gesellschaft, in welcher ich tätig bin, zusammen zu arbeiten, um, möglichst schnell dem Problem auf den Grund zu kommen.

 

Der Punkt ist, dass nämlich seit Monaten sporadisch mehrere Mitarbeitende mit Ihrem Notebook zu uns in das Büro laufen und sagen, Sie könnten Sie nicht mehr im System einloggen.

Analysiert man das Problem, stellt man/ ich jeweils schnell fest, dass jeweils diese betroffenen Geräte die Vertrauensstellung zur Domäne verloren haben.

 

Innerhalb von 3 Monaten habe ich bis jetzt, grob geschätzt rund 20 Notebooks aus dem genannten Grund aus der Domäne entfernen müssen, in die Arbeitsgruppe aufnehmen, das entsprechende, AD Computerkonto aus der Domain löschen, das AD Computer Konto wieder neu erstellen und den PC wieder in die Domain aufnehmen.

 

So, nun habe ich kurz ausgeholt, um euch aufzeigen zu können, dass die Sache mit der Vertrauensstellung bei uns im LAN (Kommunikation der Clients zu den DCs in Deutschland) anscheinend ein Problem hat.

Wenn ich bei einem PC die Vertrauensstellung Problematik gelöst habe, dann lässt dieser PC unserer IT Minimum 30 Tage lang in Ruhe Und: Es kam auch tatsächlich schon vor, dass es Notebooks gab, welche innerhalb von 3 Monaten schon mehrmals betroffen waren Und: Leider war nun auch plötzlich ein Server betroffen, auf welchem leider viel zu viel Software (Datenbanken) der unterschiedlichsten Hersteller installiert sind, was absolut schlecht ist und NICHT der Fall sein dürfte.

 

Es ist auch geplant, diesen Umstand möglichst schnell ändern zu können, jedoch versinken wir, die IT in Support Fällen und haben hierfür im Moment, mit Betonung auf "im Moment" keine Zeit.

 

 

Auswirkungen "Sicherheit" Vorfall

Zum Thema zurück: Wir halten fest, die Situation war also so, dass der virtuelle Server X, warum auch immer, durch wen auch immer, nach meinem technischen Verständnis auf den Stand X zurückgesetzt wurde > via einen Snapshot, welcher zufälligerweise genau für diesen Server noch vorhanden war.

 

Das heisst, wie oben beschrieben, ich kam per RDS nicht mehr auf den Server, konnte mir also nur noch via Remote Konsole des vSphere Clients Zugang zum Server verschaffen und stellte wie soeben geschildert fest, dass bei uns in der Firma plötzlich nun auch der erste Server mit diesem Problem betroffen ist oder war (Vertrauensstellung Problematik). 

 

Langer Rede kurzer Sinn oder umgekehrt, ich musste bei diesem Server auch gleich vorgehen wie bei einem Client, welcher die Vertrauensstellung zur Domain verloren hatte, nämlich den Server aus der Domain entfernen und schlussendlich wieder neu in die Domain aufnehmen.

 

So, als ich den Server wieder in die Domain aufgenommen hatte, konnten auch verschiedene Systeme wie z.B. ein Schliesssystem oder was auch immer, wieder korrekt mit dem Server kommunizieren, da ja der Server wieder korrekt in der Domain integriert war.

 

 

 

Hackerangriff ?

Die Fehleranalyse von meiner Seite ergab also, dass Jemand, eine unbekannte Person, ein Virus, ein Mechanismus, wer auch immer, dafür gesorgt hat, dass der betroffene, virtuelle Server, leider mit zig Dritthersteller Software ausgestattet (zig verschiedenen Datenbanken), ich behaupte jetzt einfach mal, böswillig auf den leider vorhandenen, uralten Snapshot zurückgesetzt wurde.

 

Als ich in den Events LOGs des vSphere Clients recherchierte, fand ich einen Eintrag, wo stand, Reverte Snapshot xy (eben der Snapshot, welcher sehr veraltet war).

Die Folge war klar: Ich musste in enger Zusammenarbeit mit allen Drittherstellern eine Datenrettungsaktion starten, damit jedes System (Lohn System, Schliesssystem, Zeit System usw.) wieder einigermassen auf einen aktuellen Stand gebracht werden konnten (es ging glaube ich höchstens  1 Tag verloren)

 

Wie kann es sein, dass bei uns in der Firma ein virtueller Server von alleine auf einen alten Snapshot zurückgesetzt wurde, was für Möglichkeiten gibt es technisch, damit dies geschah oder welche, technische Umstände können dazu führen?

 

Dieser "Sicherheit" Vorfall war für unsere IT sowie die ganze Firma der absolute Horror, der absolute Super Gau, was nie und nimmer hätte passieren dürfen.

Die Security IT Abteilung des Mutterhaus in Deutschland wurde umgehend informiert und diese sind nach wie vor am Prüfen, was bei uns im Netzwerk alles "schief" läuft.

 

Bis jetzt lautete das Fazit in einem Satz zusammengefasst: Die Sache passierte durch eine Verkettung unglücklicher Umstände.

Ich habe jahrelang als System Engineer gearbeitet und behaupte folgendes: Für mein technisches Verständnis können nur folgende Umstände dazu führen, dass ein virtueller Server in der VMware Infrastruktur sich "selbständig" auf einen alten Snapshot zurücksetzt: 

 

1. Szenario 01: Ein ehemaliger Informatik Arbeiter, welcher NICHT zum IT-Leiter befördert wurde, wollte der Firma einen Seitenhieb verpassen und hat mir, dem neuen IT-Leiter der Firma den Aufbau und die Einarbeitung absichtlich erschweren wollen und hat diverse Dinge verändert und oder "Stolpersteine" eingebaut und hat irgendwo, irgendwie einen Task hinterlegt, welcher am Tag X diesen Snapshot des Servers wiederherstellen soll.

 

2. Szenario 02: Der ehemalige Mitarbeiter hat noch immer, auf welches System auch immer, einen remote Zugang (z.B. via Team Viewer oder welches remote Programm auch immer), damit er jederzeit uns das Leben schwer machen kann (aus der Ferne)

 

3. Szenario 03: Wir haben einen Virus im Netzwerk, welcher in der Lage ist, solche Dinge zu tun.

 

 

Ich hoffe, es gibt unter euch Server Spezialisten auch Leute, welche im Bezug Security einiges auf dem Kasten haben, welche vielleicht auch im VMware zertifiziert sind und mir hoffentlich plausibel erklären können, wie es in unserer Firma zu diesem Vorfall kommen konnte und noch wichtiger: Wie wir einen solchen Sicherheitsvorfall in Zukunft verhindern können.

 

Ihr werdet jetzt sagen: Ändere sofort ALLE Passwörter!

Ich sage: Ja, würde ich sehr gerne, nur wir sind aktuell nur zu zweit, mein neuer Mitarbeiter hat vor wenigen Tagen angefangen und wir versinken zurzeit in der Arbeiten und sind Tage/ Wochen in Verzug mit der Abarbeitung von Support Fällen Und: Wenn ich/ wir jetzt die tausend Passwörter im KeePass in ein anderes, Passwort Programm migrieren möchten, so wäre dies wohl ein Mega Aufwand und könnte nicht rasch geschehen, aber ich lasse mich gerne eines besseren belehren!

 

Denn wenn man Passwörter ändern will, wenn man administrative Berechtigungen einschränken will, so muss man auch auf reagieren können, falls ein System plötzlich nicht mehr tut, sei es nun, weil irgend ein Dienst mit einem User versehen ist, welcher dann durch die PW Änderung betroffen sein könnte oder wie auch immer.

 

Als Ergänzung: Ich stellte auch fest, dass unter anderem an Active Directory Gruppen Änderungen vorgenommen wurden und dazu führen, dass urplötzlich die Geschäftsleitung keine Zugriffe mehr auf unsere Dateiserver hatte (lokal, eingerichtetes DFS System). Dieser Sicherheitsvorfall ist nun mittlerweile rund 2 Monate oder so her und es hört nicht auf, wie Ihr lesen könnt.

 

Als ich dies festgestellt hatte und in den AD Attributen der betroffenen AD Gruppe feststellte, dass an dieser eine Änderung vorgenommen wurde zu einem Zeitpunkt, wo Niemand von der IT am Arbeiten war und Zugriff vom Homeoffice auf das Firmennetzwerk hatte, teilte mir das Mutterhaus IT in Deutschland unserer lokalen IT hier in der Schweiz mit: Leider müssen wir Ihnen mitteilen, dass wir aktuell solche Active Directory Änderungen an AD Gruppen NICHT aktiv loggen.

 

Wäre dies geloggt worden, hätte man nämlich jetzt nebst dem genauen Zeit Stempel, wo eine Änderung an einer AD Gruppe vorgenommen worden war, auch den User ausfindig machen können, also den LOGIN Namen, unter welchem diese Änderung an diesem AD Gruppenobjekt vorgenommen worden wäre!

 

Bitte um Hilfe, Danke.

 

cheers

André

bearbeitet 8. Juni 2023 von andrew

[cj_berlin 1.138]

Moin,

 

 

sorry, wenn ich nicht den gesamten Roman gelesen habe und die Antwort da bereits enthalten war, aber eine solche Aktion ist bei vSphere in mindestens drei Logs enthalten, und in mindestens einem davon steht auch, wer sie ausgelöst hat, und mit etwas mehr analytischem Geschick kann man sogar eruieren, von welcher Quell-Adresse und mit welchem Client die dazugehörige Verbindung hergestellt worden ist...

[NilsK 2.785]

Moin,

 

wenn man eine VM, die Mitglied der Domäne ist, auf einen Snapshot zurücksetzt, der älter ist als 30 Tage, dann ist der Fehler mit der fehlenden Vertrauensstellung völlig normal. In dem Fall hatte das Windows in der VM (als es noch normal lief) turnusgemäß sein Domänenkennwort mit dem AD neu ausgehandelt. Der alte VM-Zustand hat natürlich nur ein altes Kennwort und kann sich deshalb nicht gegen die Domäne authentifizieren.

 

Dass das bei den Notebooks, über die wir hier ja auch schon ausführlich diskutiert haben, auch so ist, halte ich für wenig wahrscheinlich. Daher dürften die Ursachen unterschiedlich sein.

 

Wie es nun dazu kam, dass diese eine VM auf den Snapshot zurückgesetzt wurde, lässt sich hier nicht beurteilen. Angesichts dessen, was du beschreibst, halte ich die Fehlbedienung durch jemanden, der administrativen Zugriff auf die Umgebung hat, für die wahrscheinlichste Vermutung. "Kann gar nicht sein" ist oft der große Bruder von "ich hab nichts gemacht".

Hackerangriffe kann man zwar nie ausschließen, aber ein Hacker hätte sicher Besseres zu tun.

 

Problematisch ist, dass der Kunde nun anscheinend auf dem uralten Stand weiterarbeitet. Warum habt ihr dort nicht das aktuellste Backup der VM oder der Applikation wiederhergestellt?

 

Gruß, Nils

 

bearbeitet 8. Juni 2023 von NilsK
Type-O

[cj_berlin 1.138]

Ansonsten gibt es genügend Firmen, die sowohl vor als auch nach einem Vorfall helfen können - durch Konfigurationsanalyse, Prozessanpassungen, Tools. Ich hoffe, Du erwartest nicht wirklich, dass diese Art Beratungsleistung in einem kostenlosen offenen Forum erbracht werden kann. Von der Komplexität des Vorhabens mal abgesehen, Du brauchst für so etwas einen "trusted advisor", einen Sparring-Partner, und nicht einen Haufen Wissender und Halbwissender, die hier in ihrer Freizeit unterwegs sind.

[zahni 521]

Frage: Warum gibt es auf produktiven VMs aktive Snapshots? Das macht man höchstens via Storage. Ansonsten kostet das jede Mange Performance und braucht HDD-Platz.

[v-rtc 81]

vor 18 Minuten schrieb zahni:

Frage: Warum gibt es auf produktiven VMs aktive Snapshots? Das macht man höchstens via Storage. Ansonsten kostet das jede Mange Performance und braucht HDD-Platz.

Ausnahmen bestätigen die Regel

[andrew 15]

vor 2 Stunden schrieb cj_berlin:

eine solche Aktion ist bei vSphere in mindestens drei Logs enthalten, und in mindestens einem davon steht auch, wer sie ausgelöst hat

Genau, der Snapshot wurde mit einen Administrator Login ausgeführt, welches nicht personifiziert ist, heisst: Diese Erkenntnis bringt mich als IT-Leiter wie auch meine Firma und oder die Security Leute wohl nicht zum Ziel?

 

Würde diese Tatsache den Security Leute von Deutschland (Mutterhaus IT des Konzerns) weiterbringen, welche von mir/ unserer Gesellschaft denen gemeldet wurde, so wäre wohl längst unsere GL informiert worden im Sinne von: Das Administrator Login, welches benutzt wurde, um den Snapshot wieder herzustellen, wurde durch die Person X vom PC Y aus verwendet. 

 

Eine solche Erkenntnis wurde uns noch nicht zurückgemeldet, darum muss ich davon ausgehen, dass man noch immer nicht weiss, welche Person das Administrator LOGIN im vSphere Client verwendet hat, um diesen Snapshot zu wiederherstellen.

vor 2 Stunden schrieb cj_berlin:

und mit etwas mehr analytischem Geschick kann man sogar eruieren, von welcher Quell-Adresse und mit welchem Client die dazugehörige Verbindung hergestellt worden ist...

 

cj_berlin: Danke für diesen sehr hilfreichen Input. Von wegen analytischem Geschick: Hier sind konkret Produkt spezifische Kenntnisse von VMware gefragt, damit man konkret auch wissen kann:

• in einem solchen Fall musst man Troubleshooting betreiben im Event x unter Punkt Y
• das Monitoring X von VMware unter Punkt Y usw.

Kennt man nur sehr oberflächlich wie ich das Produkt VMware vSphere Client, findet man entsprechend auch nur das, was man so beim "herumklicken" an "interessanten" Punkten in Erfahrung bringen kann wo man denkt: ok, dieser Event LOG hier müsste wohl mehr Aufschluss geben oder: Ahaaa, hier gibt es noch eine interessante Anlaufstelle, mal schauen, was da so an LOG Infos vorhanden sind und was diese mir erzählen wollen Und: Genau auf diese Art und Weise habe ich auch heraus gefunden, dass

 

• A: Der uralte Snapshot vom Monate alten Datum X wurde zurückgeholt
• B: unter welchem LOGIN wurde der Snapshot zurückgesetzt

Aber C;, von welcher IP Adresse aus dieser Task angestossen wurde, das weiss ich nicht, wie ich das im vSphere Client herausfinden kann, Du cj_berlin weisst es anscheinend oder deute ich deine Argumentation falsch?

 

Wie auch immer, wenn mir Jemand verraten kann, in welchem LOG ich eine solche Information finden könnte, mache ich mich auf die Suche > jetzt!

vor 2 Stunden schrieb NilsK:

Problematisch ist, dass der Kunde nun anscheinend auf dem uralten Stand weiterarbeitet. Warum habt ihr dort nicht das aktuellste Backup der VM oder der Applikation wiederhergestellt?

 

Lieber Nils

Da hast Du wohl was überlesen und oder nicht verstanden: Der Kunde sind wir, eine Gesellschaft von ganz vielen, welche weltweit verteilt sind Und: wir Gesellschaften gehören alle zum gleichen Konzern.

 

In dem weltweiten Konzern, in welchem ich arbeite, gibt es in Deutschland eine IT Firma, welche als zentrale Stelle für alle Gesellschaften aktiv ist.

Wir alle, die Gesellschaften, welche zu diesem weltweit tätig aktiven Konzern gehören, beziehen verschiedene Dienstleistungen wie zum Beispiel div. Software oder beispielsweise wird auch unser Netzwerk durch die zentrale IT via Monitoring überwacht.

 

Manche Gesellschaften, welche weltweit über die ganze Welt verteilt sind, haben wie unsere Gesellschaft, hier in der Schweiz, selber, eine lokale IT.

Ich bin der IT-Leiter dieser Gesellschaft hier in der Schweiz.

 

Wenn irgend ein Konzern spezifisches Programm nicht funktioniert, dann müssen wir z.B. ein Support Ticket bei der zentralen IT in Deutschland eröffnen.

Diese dort machen 2nd und 3rd Level Support. 

 

Die zentrale IT ist der Ansicht, dass wenn eine Gesellschaft selber eine IT vor Ort hat, wie das bei uns der Fall ist, da ich ja der IT Leiter bin, müssen wir selber bei uns First Level Support betreiben.

 

Bei diesem Sicherheitsvorfall, wie ich Ihn persönlich nenne handelte ich sofort, informierte unsere GL und verlangte von der GL, dass diese wiederum sofort die Security Abteilung bei der zentralen IT in Deutschland aktiviert, was auch geschah und es wurde eine Notfall MS Teams Sitzung einberufen mit einem IT Security Verantwortlichen und ein paar Technikern, welche dann via Frage und Antwort Spiel in einem ersten Schritt versuchten, heraus zu finden, ob unsere IT hier in der Schweiz möglicherweise Opfer eines Hackerangriffs wurde, welcher durch extern, sprich, via Internet erfolgt wurde.

 

Da ich aber seit Monaten als einziger Informatik Arbeiter hier in der Gesellschaft in der Schweiz aktiv bin, konkret als IT-Leiter und zugleich auch anfallende Support Arbeiten erledigen muss, für notabene zig hundert Leute, weil ich schauen muss, dass die Neueintritte, welche es jeden Monat gibt, dass die Neueintritte ein Notebook erhalten, welches mit der notwendigen Software ausgestattet ist und alles funktioniert, bin ich derart ausgelastet, dass ich mittlerweile mit den Support Anfragen zig Wochen in Verzug bin.

 

Bei uns existieren an 2 geografisch verteilten Orten "Rechenzentren". Das Wort ist wohl sehr übertrieben, aber trotzdem wird die Infrastruktur bei uns im Gebäude gespiegelt an das zweite RZ, welches sich geografisch auch auf unserem, sehr grossen Areal befindet.

 

Auf Grund der sehr schlechten IT Situation in Bezug mangelndes Person ist es nur selbsterklärend, dass ich als ehemaliger System Engineer kaum  Zeit aufbringen kann für die bei uns vor Ort vorhandene EDV Infrastruktur.

 

Aus diesem Grund habe ich schon vor der Einstellung für diesen Job, vor wenigen Monaten der GL klar gemacht, sollte ich eingestellt werden, wir dringend anfangen müssten, weiteres IT-Personal zu suchen, was auch sofort geschah.

 

Nur leider regnet es IT-Supporter als Beispiel nicht einfach so vom Himmel und so ist es weiter nicht erstaunlich, dass ich nun nach Monaten erst meinen ersten IT-Supporter anstellen konnte und jetzt, man glaubt es kaum, sind wir schon zu zweit.

 

Und die gute Nachricht ist, in wenigen Monaten kommt nochmals ein IT-Supporter dazu, welcher auch schon Erfahrung hat in Bezug Server Migrationen usw. und mich sicher auch im Server Bereich unterstützen kann.

 

Zu deiner Frage, Nils, wegen dem Bakups: Ich war in der Lage, für alle Dritthersteller, für jede Software, eine sehr aktuelle Datenrettung zu machen.

Somit haben wir "nur" genau  Tag an Daten verloren.

bearbeitet 8. Juni 2023 von andrew

[NilsK 2.785]

Moin,

 

Und es gibt kein aktuelles Backup, oder was willst du mit deiner Beschreibung sonst aussagen?

 

Wir sind hier ein Community-Forum, kein kommerzieller Support. Daher können wir nur das leisten, was wir hier eben tun. Wenn du mehr brauchst, ist das legitim, aber nicht als Anspruch uns gegenüber. Professioneller Support kostet Geld, das ist nun mal so 

 

Gruß, Nils

[andrew 15]

vor 2 Stunden schrieb zahni:

Frage: Warum gibt es auf produktiven VMs aktive Snapshots?

 

Hallo zahni

Frag doch meine Vorgänger, welche die ganze IT eingerichtet hatten?

 

Als ich angefangen hatte, wusste ich, dass das bestehende IT-Personal die Firma verlassen wird und dass ich, als gesuchter IT-Leiter dann alleine sein werde Und: Dass ich auch sofort anfangen muss, eine neue IT- Abteilung aufbauen zu müssen/ wollen, weil man als einzige Person sehr schlecht den ganzen Betrieb für zig hundert Leute aufrecht halten kann, was ich aber bereits seit Monaten tun muss, auf Grund der personellen Situation, für welche ich leider auch nichts dafür kann.

 

Die Infrastruktur ist anscheinend vom einem System Engineer, welcher wie erwähnt, die Firma auch verlassen hat, aufgebaut und ich würde meinen, sein Wissen war wohl nicht über ALLE Zweifel erhaben, sonst hätte man nicht einen virtuellen Server gebaut, auf welchem zig verschiedene Dritthersteller Software (und Datenbanken) eingerichtet sind.

 

Denn wenn das passiert, was vor kurzer Zeit bei uns passiert ist, wenn eine solche, eierlegende Wollmilchsau zurückgesetzt wird, dann sind alle Daten, von allen Systemen auf diesem Server gleichermassen betroffen, was nicht wirklich sexy ist!

 

Diese Feuerwehraktion, dafür sorgen zu müssen, dass der Server wieder funktionsfähig wird mit möglichst wieder einem aktuellen Datenbestand, wünsche ich Niemandem!

Dazu kam natürlich noch, dass ich währende der Datenrettung an jenem Tag und auch Tage danach noch die ganze Zeit mit Anfragen konfrontiert wurde im Sinne von: Ich habe dann noch eine Mail gesendet am Tag X, hast Du diese noch nicht gelesen? Was läuft jetzt bei meinem Problem X usw. 

 

Nicht gerade das, was man sich wünscht.

vor 15 Minuten schrieb NilsK:

Und es gibt kein aktuelles Backup, oder was willst du mit deiner Beschreibung sonst aussagen?

 

Doch, das aktuelle Backup konnte ich wiederherstellen und der Server läuft nun wieder, alle Lohndaten sind wieder da, alle Daten für programmierte Schlüssel in Bezug Schliesssystem sind wiederhergestellt worden usw.

 

Insofern, alles gut.

 

Die Frage ist, wie kann ich/ wir ein solches Horror Szenario in Zukunft wieder verhindern, weil mir anscheinend bis heute noch immer Niemand mitteilen kann oder konnte, warum und wieso dieser Fall passiert war, als ich notabene einmal kurz 1 Woche Ferien nehmen wollte.

 

Am Schluss war ich dann halt mehrheitlich in meiner 1 Ferienwoche am Arbeiten, nichts mit Ferien.

Komisch, dass dieser Vorfall genau dann passiert, wo ich endlich mal nach zig Überstunden arbeiten - monatelang, einmal, das erste Mal 1 Woche Ferien wollte.

Es gibt manchmal im Leben schon sehr merkwürdige Zufälle?

Am zweiten Ferientag gab es dann eben diesen Knall und man kontaktiere mich in meinen Ferien, sehr unschön!

 

CJ_Berlin hat ja weiter oben grossspurig argumentiert, es sei keine grosse Sache, herausfinden zu können, von welcher IP Adresse aus die Verbindung auf den vSphere Client gemacht worden war.

 

Wenn es so einfach ist, aus welchem Grund sollte man mir diese Information vorenthalten? Im Wissen, dass hier Jemand gerade einen krassen Sicherheitsvorfall hatte und genau über eine solche Information sehr dankbar wäre?

 

Das ist es doch nur naheliegend und menschlich, dass man versucht, einer solchen Person auch die Infos geben zu wollen, im Sinne von, wenn es hilft, dann umso besser und nicht mit Argumentationen um sich wirft, wir sind ein Forum auf freiwilliger Basis, wir helfen hier nur den Hobby Informatikern, welche in Ihrer Hobby Umgebung ein Problem haben und wenn Du in einer produktiven Umgebung ein Problem hast, dann such doch einen kostenpflichtigen Partner, ich sage dazu:

 

Danke für diesen sehr wertvollen Tipp, darauf wäre ich selber nun gar nicht gekommen.

bearbeitet 8. Juni 2023 von andrew

[cj_berlin 1.138]

vor 51 Minuten schrieb andrew:

Wie auch immer, wenn mir Jemand verraten kann, in welchem LOG ich eine solche Information finden könnte, mache ich mich auf die Suche > jetzt!

Das verrät Dir der Hersteller  

https://docs.vmware.com/en/VMware-vSphere/7.0/com.vmware.vsphere.security.doc/GUID-FBECACED-E9E2-4DE5-A4D2-3587D90D2420.html

[Sunny61 773]

vor 45 Minuten schrieb andrew:

Die Frage ist, wie kann ich/ wir ein solches Horror Szenario in Zukunft wieder verhindern,

Per Script alle Snapshots regelmäßig durchlaufen und alles löschen was älter 29 Tage ist.

[andrew 15]

vor 3 Stunden schrieb cj_berlin:

Das verrät Dir der Hersteller  

https://docs.vmware.com/en/VMware-vSphere/7.0/com.vmware.vsphere.security.doc/GUID-FBECACED-E9E2-4DE5-A4D2-3587D90D2420.html

 

Hey, Danke vielmal.

Als ich den Artikel geöffnet hatte, habe ich schnell den Eindruck erhalten, dass dieser Artikel wirklich sehr viel versprechend aussieht. 

 

Den werde ich heute noch genau unter die Lupe nehmen ;)

vor 2 Stunden schrieb Sunny61:

Per Script alle Snapshots regelmäßig durchlaufen und alles löschen was älter 29 Tage ist.

 

Ok, danke für den Input.

Gibt es einen Grund, dass diese nicht älter als ausgerechnet 29 Tage sein sollen?

[NilsK 2.785]

Moin,

 

nein, die 29 Tage sind nicht ausschlaggebend. Das ist am Ende eure Einschätzung, wann ein Snapshot für euch wertlos oder sogar gefährlich wird. Es gibt auch gute Gründe, Snapshots gar nicht aufzubewahren bzw. gar keine zu erzeugen. (Genau betrachtet, gibt es mehr Gründe, keine Snapshots vorzuhalten, als Gründe, das zu tun.)

 

Die 30 Tage, die ich selbst oben nannte, sind das Intervall, in dem das AD neue Computerkennwörter aushandelt. Das ist aber eher eine maximale Zeitspanne, nach der das Kennwort garantiert geändert ist. Wenn die Änderung z.B. gestern erfolgt ist, dann ist der Snapshot von vorgestern schon so alt, dass die VM in dem Zustand nicht auf das AD zugreifen kann. Man sieht "von außen" nicht, wann der Kennwortwechsel erfolgt ist - kann man zwar rauskriegen, ist operativ aber auch unnötig.

 

Gruß, Nils

 

[Sunny61 773]

vor 2 Stunden schrieb andrew:

Gibt es einen Grund, dass diese nicht älter als ausgerechnet 29 Tage sein sollen?

Nein, das war nur als Beispiel gedacht was alles möglich ist.

 

Sobald ein Server allerdings eine Datenbank hostet, ist ein Snapshot nicht das Mittel der Wahl. Um in solchen Fällen, wie du ihn erlebt hast, flexibler und schneller wieder arbeitsfähig zu sein, empfiehlt es sich, so viele Dienste/Anwendungen wie möglich auf eigene Systeme zu bringen. Aber das alles weißt Du sicherlich, es kam eben alles mögliche und unmöglich zusammen.

bearbeitet 8. Juni 2023 von Sunny61

[andrew 15]

vor 53 Minuten schrieb Sunny61:

Um in solchen Fällen, wie du ihn erlebt hast, flexibler und schneller wieder arbeitsfähig zu sein, empfiehlt es sich, so viele Dienste/Anwendungen wie möglich auf eigene Systeme zu bringen

 

das sehe ich auch so.