cymode
Goto Top

Exchange 2010 Datenbank - Crytolocker während Migration

Hi,

Backup Situation:
Bevor es zu viel Kritik gibt - Ja, wir haben backups auf einer NAS und offline backups. Fast alle nun jedoch Wertlos.

Die Externe Festplatte mit den neusten Backups hatten wir verwendet um Terrabyte an Daten auf den neuen server zu kopieren ohne das Netzwerk zu sehr zu belasten. Das war leider eine Katastrophale Idee da ein Cryptolocker Virus (der erste Virus in über 10 Jahren im ganzen Netzwerk!) genau in dem Moment sein Unwesen treiben muss (Wie so ein Zufall passieren konnte kommt in einem extra Beitrag für die, die etwas lachen/heulen wollen).

Alle Clients sind OK.
Ein Backup vom Exchange Server vom August existiert noch auf einer anderen Externen Festplatte.


Situation:
Wir haben die Outlook Datenbank von Server A (SBS 2011) zu Server B (Virtual SBS 2011) migriert.
Jetzt haben keine Benutzerkonten mehr Exchange Daten auf Server A.
Server B ist nun nicht mehr ansprechbar und natürlich offline.

Das einzige Exchange Server 2010 Backup das wir nun haben ist 4 Wochen alt.
Alle Benutzer hatten sich am Freitag noch angemeldet, sprich die Mails der letzten 4 Wochen sind lokal auf den lokalen PCs.
Alle mails zwischen Freitag & Montag sind damit unbrauchbar - ok.


Wie gehe ich jetzt am besten vor? Mein Gedanke

- Neue Datenbank anlegen (da die Postfächer auf Datenbank auf Server B eingebunden sind)
- Das Backup vom August einspielen (wie? - bis jetzt immer nur 1x eine Datenbank überschrieben und das ist schon Jahre her)
- Die Postfächer an die neue Datenbank binden - wie???
- Die OSTs von den Clients sichern und in PSTs umwandeln (Teilweise sind die OSTs bis zu 20GB groß da die Geschäftsleitung nichts von Archiven hält...) - Muss ich das überhaupt Umwandeln?
- Die letzten 4 Wochen an Daten manuell an jedem Client - Kann ich eventuell Outlook einfach öffnen und der erkennt das ich eine neuere Version der Daten auf dem Client habe?

Hat jemand eine Idee? 30 Clients, 400GB an Daten.
Habe den ganzen Tag schon rum telefoniert und gegoogelt.
Das hier würde ich wohl befolgen: Restore

Danke für eure Hilfe

Content-ID: 502186

Url: https://administrator.de/forum/exchange-2010-datenbank-crytolocker-waehrend-migration-502186.html

Ausgedruckt am: 26.12.2024 um 08:12 Uhr

Henere
Henere 08.10.2019 um 00:54:04 Uhr
Goto Top
Servus. Wenn man mal Pech hat kommt auch noch Murphy dazu.....

Wenn Du den Clients das Netzwerkkabel ziehst, kannst Du dort Outlook offline starten und einen regulären Export in eine PST machen, die Du dann wieder importieren kannst.

Viel Erfolg, Henere
monstermania
monstermania 08.10.2019 um 09:37:53 Uhr
Goto Top
Zunächst mal mochte ich Dir/Euch mein aufrichtiges Mitgefühl aussprechen. Ja und dann muss einfach die Kritik kommen!
Für mich stellt sich die grundsätzliche Frage, wer sich denn ein solches "Backupkonzept" ausgedacht bzw. abgesegnet hat!? OK, jetzt war es ein Verschlüsselungstrojaner, aber es hätte ja genau so ein Brand oder ein Einbruchdiebstahl sein können. Gerade wenn man schon für eine preiswerte HDD-Lösung für die Offsite-Sicherung nutzt, ist ein Rhythmus von 4 Wochen einfach viel zu wenig. Die externe HDD hätte ja auch einfach kaputt gehen können...
Ja, ich weiß schon, warum ich immer noch (tägliche )Tape-Backups bevorzuge. Da sind die Backups dann auch sicher vor Verschlüsselungstrojanern.
Ich hoffe zumindest, dass Ihr aus diesem Vorfall Eure lehren zieht und Euer Backupkonzept zukünftig überarbeitet.

Ich würde mir kompetente Unterstützung suchen. Dazu sollte man natürlich wissen, welcher Kryptotrojaner genau zugeschlagen hat. Evtl. muss/ sollte man auch alle Clients neu aufsetzten.
Die Exchange Datenbank muss doch eigentlich noch auf dem Server vorhanden sein, oder sind alle Partition verschlüsselt worden!?
cymode
cymode 08.10.2019 um 11:04:16 Uhr
Goto Top
Hi,

Wir haben Monatliche off-site Backups auf Externe HDD „A“ und Wöchentliche Off-Site auf HDD „B“ welche in dem Moment am Server angeschlossen war.

Die NAS steht in einem Brandschutzraum 2 Häuser weiter.

Die Datenbank auf Sever A ist leer da alles rüber ging.
Die Datenbank auf Server B ist verschlüsselt.

MfG
monstermania
monstermania 08.10.2019 um 13:04:03 Uhr
Goto Top
Zitat von @cymode:
Wir haben Monatliche off-site Backups auf Externe HDD „A“ und Wöchentliche Off-Site auf HDD „B“ welche in dem Moment am Server angeschlossen war.
Das Euer "Konzept" eher nicht so dolle war, habt Ihr ja jetzt schon gemerkt...

Die NAS steht in einem Brandschutzraum 2 Häuser weiter.
Und auch verschlüsselt!?

Die Datenbank auf Sever A ist leer da alles rüber ging.
Die Datenbank auf Server B ist verschlüsselt.
Hmm, irgendwie komisch. Mit welchem Account bzw. Credentials wurde denn da verschlüsselt!? Ist ja wohl kaum ein normaler User gewesen, der versehentlich eine Email geöffnet hat, oder!?
Scheint mir eher so, dass Eure gesamte Domain kompromitiert ist. Darf man erfahren, welcher Cryptotrojaner zugeschlagen hat, oder ist das ein Geheimnis!?
cymode
cymode 08.10.2019 um 15:17:46 Uhr
Goto Top
Hi,

NAS auch verschlüsselt da die Laufwerke in dem moment eingebunden waren. Hätte, hätte, hätte. Waren viele Fehler auf einmal - ist ja keiner davon ausgegangen das in 10 Jahren nichts passiert und dann wenn alles offen ist, der ultimative Gau passiert.

Kompletter Bericht kommt in wenigen Tagen hier ins Forum über was es für ein Cryptolocker es war, wie es passiert ist und was man draus lernen kann.
kaiand1
kaiand1 08.10.2019 um 22:38:03 Uhr
Goto Top
Hi
Ist Blöd gelaufen aber sowas passiert leider mal..
Aber wie ist es mit dem Export/Sicherung der Mails im Revision Archiv?
Da die Revisionssicheren E-Mailarchivierung schon lange Vorgegeben wird und da meist ein Externer Cloud/Server verwendet wird dürfte dieser ja alles Mails zugänglich haben.
rickstinson
rickstinson 09.10.2019 aktualisiert um 06:43:04 Uhr
Goto Top
Sichere unbedingt die OST Dateien der Clients. Bestenfalls hast damit alle Daten.
Danach OST ins PST umwandeln und die PSTs direkt am Exchange Server mit Powershell einspielen.

Fürs umwandeln gibt es eh Tools von Kernel Recovery oder wie die heißen.

Good luck!
cymode
cymode 09.10.2019 aktualisiert um 10:49:47 Uhr
Goto Top
Hi Rickstation,
So in etwa wird es gemacht face-smile

Nachdem die Datenbank wiederhergestellt wurde (Backup vom August) wurden der Exchange Dienst Beendet.
Dann an jedem Client Outlook geöffnet und das Postfach als PST exportiert.
Die OST/PST gehen jeweils max. 1 Jahr zurück, 2 Monate reichen aber in diesem Fall aus.

Dann wurde die OST auf jedem PC umbenannt/gelöscht.
Exchange Dienst starten
Outlook öffnen. Die OST wird neu aufgebaut.
PST Datei öffnen und manuell alle E-Mails zwischen der letzten 2 Monate von der PST in die OST ziehen.


WICHTIG:
POP3 Connector importiert die Mails mit dem aktuellen Datum & Uhrzeit. Damit das alles richtig ist hatten wir auf jedem Client das Postfach noch mal als Pop3 zusätzlich hinzugefügt; E-Mails abgerufen, verschoben und dann erst Pop3 aktiviert.


Bei ein paar Clients war die OST 20GB groß (die haben Zugriffe auf verschiedene Postfächer) und konnte nicht geöffnet werden. Hier mussten dann OST-PST Konverter genutzt werden.

40 Stunden hat uns das aktuell gekostet für 30 Clients. Etwa 50% davon war Wiederherstellung der Datenbank und 10-faches prüfen das nichts irgendwie schief geht.

PS: In der Zwischenzeit wurden die Postfächer via IMAP bei einigen Clients eingerichtet damit der Betrieb weiterlaufen konnte.

Hat also alles so weit gut geklappt.

Exchange/ Cache ist schon was feines.

Bei Mac war es sogar noch einfacher da es kein Cache ist sondern eine 1:1 Kopie vom Exchange Postfach. Postfach lokal sichern, dann löschen, Synchronisieren, Alle Mails löschen und die Mails vom Backup ins Exchange Postfach ziehen.

MfG
rickstinson
rickstinson 09.10.2019 um 10:56:50 Uhr
Goto Top
Super, das freut mich dass ihr das geschafft hat ---- bei solchen Dingen ist man ja nahe der Verzweiflung und dem Herzinfarkt face-smile