dbox3
Goto Top

System komplett wiederherstellen

Hallo zusammen,
ich kämpfe seit März mit den Folgen des Eingriffs auf meinen Exchange 2013. Den Exchange habe ich mit der alten Veeam-Sicherung wiederhergestellt, nur sind offensichtlich noch andere Rechner im System verseucht. Hinweise darauf habe ich zuletzt von der Telekom erhalten, was ich in einem meiner früheren Beiträge bereits geschildert habe. Im Moment läuft das ganze System gesichert durch Kaspersky einigermaßen stabil, nur hin und wieder meldet Kaspersky Funde an verschiedenen Stellen. Ich würde daher das System komplett neu wiederherstellen, weiss aber nicht so recht, wo ich anfangen soll und die richtige Reihenfolge. Es handelt sich um eine Domäne mit zwei DC als WinServer 2019, einen Terminalserver ebenfalls Server 2019, einen Exchange 2013 auf Win2008r2 in der DMZ und mehreren peripheren Clients mit Win10. Alle Server als VM auf einem ESXi 6.7. Es existieren Veeam-Sicherungen von den beiden DC's, dem TS und dem Exchange. Ob diese alle noch sauber sind weiss ich jedoch nicht. Dabei möchte ich nicht riskieren, die Seuche in das neue System nach diesem Aufwand wieder reinzuschleppen. Die Clients sind dabei das kleinste Problem, da sie fast ausschließlich zwecks RDP-Verbindungen zum TS minimal konfiguriert sind und leicht wiederhergestellt werden können. Wie sollte man praktisch vorgehen? Ich habe mir folgende Schritte vorgestellt:

1. Alles bis auf die DC's herunterfahren, einen frischen DC aufsetzen, die FSMO-Rollen darauf übertragen, die ersten zwei DC's dann aus der Domäne nehmen und dann den 2. DC neu installieren und einbinden. Die IP's der Beiden auf die ursprüngliche Werte ändern.

2. Den Exchange neu installieren und die Postfächer wiederherstellen

3. Mit dem TS kann es problematisch werden, da keine ältere Sicherung (vor 03/21) mehr existiert und darauf ein Verwaltungssytem auf Basis von Oracle 11.2g läuft. Das wird ein größerer Aufwand werden.

4. Als Letztes die Clients neu und einbinden.

Ist der Plan OK? Worauf sollte ich achten? Geht das Ganze mit weniger Aufwand?

Danke

Content-ID: 1070986112

Url: https://administrator.de/contentid/1070986112

Ausgedruckt am: 04.11.2024 um 22:11 Uhr

148656
148656 21.07.2021 um 17:16:04 Uhr
Goto Top
Moin,
Ähm, ganz falsches vorgehen.
Alles abschalten, Doku aus dem Schrank holen und ALLES neu aufsetzten.
In einer separaten abgeschotteten Umgebung kann man noch die Nutzdaten aus den Backup puhlen und via Turnschuh einspielen.

Gruß
C.C.
Delta9
Delta9 21.07.2021 um 17:22:27 Uhr
Goto Top
Zitat von @148656:

Moin,
Ähm, ganz falsches vorgehen.
Alles abschalten, Doku aus dem Schrank holen und ALLES neu aufsetzten.
In einer separaten abgeschotteten Umgebung kann man noch die Nutzdaten aus den Backup puhlen und via Turnschuh einspielen.

Gruß
C.C.

Hi, sehe ich genau so.
Nur vermisse ich den "Fileserver usw. " in der Auflistung der Server. Evtl sollte man bei der Gelegenheit das ganze Konzept mal überdenken.
PS. Exchange 2013 ( hoffentlich SP 1) auf Win2008r2 ( EOL, oder hast du dafür ESU?) in der DMZ, da hat die DMZ wohl nicht ganz gehalten.... face-smile
Vision2015
Vision2015 21.07.2021 um 17:24:30 Uhr
Goto Top
Zitat von @dbox3:

Hallo zusammen,
ich kämpfe seit März mit den Folgen des Eingriffs auf meinen Exchange 2013. Den Exchange habe ich mit der alten Veeam-Sicherung wiederhergestellt, nur sind offensichtlich noch andere Rechner im System verseucht. Hinweise darauf habe ich zuletzt von der Telekom erhalten, was ich in einem meiner früheren Beiträge bereits geschildert habe. Im Moment läuft das ganze System gesichert durch Kaspersky einigermaßen stabil, nur hin und wieder meldet Kaspersky Funde an verschiedenen Stellen. Ich würde daher das System komplett neu wiederherstellen, weiss aber nicht so recht, wo ich anfangen soll und die richtige Reihenfolge. Es handelt sich um eine Domäne mit zwei DC als WinServer 2019, einen Terminalserver ebenfalls Server 2019, einen Exchange 2013 auf Win2008r2 in der DMZ und mehreren peripheren Clients mit Win10. Alle Server als VM auf einem ESXi 6.7. Es existieren Veeam-Sicherungen von den beiden DC's, dem TS und dem Exchange. Ob diese alle noch sauber sind weiss ich jedoch nicht. Dabei möchte ich nicht riskieren, die Seuche in das neue System nach diesem Aufwand wieder reinzuschleppen. Die Clients sind dabei das kleinste Problem, da sie fast ausschließlich zwecks RDP-Verbindungen zum TS minimal konfiguriert sind und leicht wiederhergestellt werden können. Wie sollte man praktisch vorgehen? Ich habe mir folgende Schritte vorgestellt:

1. Alles bis auf die DC's herunterfahren, einen frischen DC aufsetzen, die FSMO-Rollen darauf übertragen, die ersten zwei DC's dann aus der Domäne nehmen und dann den 2. DC neu installieren und einbinden. Die IP's der Beiden auf die ursprüngliche Werte ändern.
da wäre die frage zu klären, wenn alle DC´s runtergefahren sind, von wo sollen die FMSO Rollen übertragen werden?!?!?!
merkste selber... ist doof face-smile
also... neue VM, und Active Directory installieren, und deine FSMO Rollen sind da wo sie sein sollen!

2. Den Exchange neu installieren und die Postfächer wiederherstellen
ok.... beschreibe uns doch mal, wie genau du die postfacher wiederherstellen möchtest!

3. Mit dem TS kann es problematisch werden, da keine ältere Sicherung (vor 03/21) mehr existiert und darauf ein Verwaltungssytem auf Basis von Oracle 11.2g läuft. Das wird ein größerer Aufwand werden.
macht ja nix, irgendwas ist ja immer face-smile

4. Als Letztes die Clients neu und einbinden.
jo...

Ist der Plan OK? Worauf sollte ich achten? Geht das Ganze mit weniger Aufwand?
nee, ohne aufwand geht das nicht.

Danke
Frank
dbox3
dbox3 21.07.2021 um 18:09:31 Uhr
Goto Top
Mit abgeschlateten DC's geht sicher keine FSMO-Übertragung, habe ich auch nicht geplant (s. Punkt1 der Fragestellung).
Die Postfächer wollte ich aus der Veeam-Sicherung wiederherstellen.

Nur vermisse ich den "Fileserver usw. " in der Auflistung der Server.

Der Fileserver ist ein QNAP-NAS

PS. Exchange 2013 ( hoffentlich SP 1) auf Win2008r2 ( EOL, oder hast du dafür ESU?) in der DMZ, da hat die DMZ wohl nicht ganz gehalten.... face-smile

Exchange 2013 CU23 mit den aktuellen Sicherheitsupdates

also... neue VM, und Active Directory installieren, und deine FSMO Rollen sind da wo sie sein sollen!

ich würde aber die AD irgendwie retten wollen anstatt alles neu aufzusetzen einschl. Benutzer, DNS, Rechte etc.
lcer00
lcer00 21.07.2021 um 18:19:03 Uhr
Goto Top
Hallo
Zitat von @dbox3
ich würde aber die AD irgendwie retten wollen anstatt alles neu aufzusetzen einschl. Benutzer, DNS, Rechte etc.

gerade das Active Directory ist ja das Problem. Die dort zugewiesenen Berechtigungen und Identitäten wurden ja komprimiert, sonst wäre der Angriff ja nicht erfolgreich gewesenen. Wenn Du das AD weiter nutzt, bleiben hohe Risiken.

Oder hattest Du vor, das AD mittels adsiedit manuell zu überprüfen? Hat das überhaupt schon jemals jemand gemacht? Wenn überhaupt, dann ein Forensiker mit viel Zeit.

Grüße

lcer
Vision2015
Vision2015 21.07.2021 um 18:38:02 Uhr
Goto Top
Moin...
Zitat von @lcer00:

Hallo
Zitat von @dbox3
ich würde aber die AD irgendwie retten wollen anstatt alles neu aufzusetzen einschl. Benutzer, DNS, Rechte etc.
tja... die frage ist ja, von was wir reden... 10 User oder Hundert User...?


gerade das Active Directory ist ja das Problem. Die dort zugewiesenen Berechtigungen und Identitäten wurden ja komprimiert, sonst wäre der Angriff ja nicht erfolgreich gewesenen. Wenn Du das AD weiter nutzt, bleiben hohe Risiken.
nun ja... das wissen wir nicht genau!
wir wissen ja nicht mal was in seinem netzwerk wirklich los ist, deswegen dazu was zu sagen, ist sehr schwer!
klar, neumachen ist das sicherste, aber von 10 fällen, müssen 7 nicht neu installiert werden.

Oder hattest Du vor, das AD mittels adsiedit manuell zu überprüfen? Hat das überhaupt schon jemals jemand gemacht? Wenn überhaupt, dann ein Forensiker mit viel Zeit.


Grüße

lcer

Frank
Vision2015
Vision2015 21.07.2021 um 18:43:08 Uhr
Goto Top
Moin...

nur sind offensichtlich noch andere Rechner im System verseucht. Hinweise darauf habe ich zuletzt von der Telekom erhalten, was ich in einem meiner früheren Beiträge bereits geschildert habe. Im Moment läuft das ganze System gesichert durch Kaspersky einigermaßen stabil, nur hin und wieder meldet Kaspersky Funde an verschiedenen Stellen. Ich würde daher das System komplett neu wiederherstellen..

von was reden wir eigentlich genau? was meldet Kaspersky, und wo?
welche Kaspersky Version genau?
was ist mit deinem Exchange, läuft der sauber?

und darauf ein Verwaltungssytem auf Basis von Oracle 11.2g
du meinst doch nicht etwa medistar?

Frank
148656
Lösung 148656 21.07.2021 um 18:49:53 Uhr
Goto Top
Zitat von @Vision2015:
...
klar, neumachen ist das sicherste, aber von 10 fällen, müssen 7 nicht neu installiert werden.
Gebe ich dir Recht, jedoch kann man bei den 7 alles nachvollziehen und klare Aussagen treffen. Was ich in diesem Fall jedoch bezweifle.

Frank
C.C.
Vision2015
Lösung Vision2015 21.07.2021 um 19:13:11 Uhr
Goto Top
Zitat von @148656:

Zitat von @Vision2015:
...
klar, neumachen ist das sicherste, aber von 10 fällen, müssen 7 nicht neu installiert werden.
Gebe ich dir Recht, jedoch kann man bei den 7 alles nachvollziehen und klare Aussagen treffen. Was ich in diesem Fall jedoch bezweifle.
das tue ich ja auch... von:
Im Moment läuft das ganze System gesichert durch Kaspersky einigermaßen stabil, nur hin und wieder meldet Kaspersky Funde an verschiedenen Stellen
wird keiner schlau...

Frank
C.C.

Frank
148656
148656 21.07.2021 um 19:20:46 Uhr
Goto Top
Schöne das Wir da einer Meinung sind.
Wer hätte das Mal gedacht 😉
Vision2015
Vision2015 21.07.2021 um 19:33:57 Uhr
Goto Top
Zitat von @148656:

Schöne das Wir da einer Meinung sind.
Wer hätte das Mal gedacht 😉

Gut... dann gibbet nur 2 optionen.
1. eine fachmännische expertise... mit Bewertung
2. alles Neumachen!

Frank
dbox3
dbox3 21.07.2021 um 19:42:46 Uhr
Goto Top
du meinst doch nicht etwa medistar?
ist medistar.
von was reden wir eigentlich genau? was meldet Kaspersky, und wo? welche Kaspersky Version genau? was ist mit deinem Exchange, läuft der sauber?
Ich habe die letzte Version von Small Office Security 21.2.16.590 Kaspersky meldete kürzlich gelöschte Dateien in den Freigaben wie z.B. md6.bin . Im Autostart fand sich run.bat. Diese beinhaltete einen powershell-Script zum herunterladen weiterer Dateien. Den Angriff im März habe ich durch veränderte DNS-Einträge (auf 8.8.8.8 und 9.9.9.9) bemerkt. Nach der Exch.-Wiederherstellung und Überprüfung mit EOMT keine Fehler mehr. Die Ausführung von PS-Scripten und powershell.exe habe ich vorsorglich gesperrt. Seitdem vorerst alles ruhig.
148656
148656 21.07.2021 um 19:45:56 Uhr
Goto Top
Zitat von @Vision2015:

Zitat von @148656:

Schöne das Wir da einer Meinung sind.
Wer hätte das Mal gedacht 😉

Gut... dann gibbet nur 2 optionen.
1. eine fachmännische expertise... mit Bewertung
2. alles Neumachen!

Frank

Eigentlich 3.
Der Experte könnte zu dem Ergebnis kommen, das Option 2 durchzuführen ist.

Es bleibt auf jeden Fall spannend 😉
@dbox3 steht ein Budget zur Verfügung?
Hier muss nicht nur Exchange "gerettet" werden.
Vision2015
Vision2015 21.07.2021 um 19:59:04 Uhr
Goto Top
Zitat von @dbox3:

du meinst doch nicht etwa medistar?
ist medistar.
du bist wahnsinnig.... face-sad
eine neue Medistar Server Installation ist kein problem und schnell erledigt. bist du Medistar Partner?
das System dürfte ohne Neuinstalation nicht mehr in betrieb gehen, das hätte schön längst erledigt werden müssen!
das wäre alles an einem WE Erledigt gewesen...
du machst einen großen Fehler... das ist schon grob fahrlässig! weiß dein Doc das?
sorry, da habe ich echt kein verständnis, die Praxis sollte den Betrieb einstellen, bis das geklärt ist- ihr kommt alle in Teufels küche....
ich schreibe dir das als Medistar Partner, und nicht um dich zu ärgern.....

von was reden wir eigentlich genau? was meldet Kaspersky, und wo? welche Kaspersky Version genau? was ist mit deinem Exchange, läuft der sauber?
Ich habe die letzte Version von Small Office Security 21.2.16.590 Kaspersky meldete kürzlich gelöschte Dateien in den Freigaben wie z.B. md6.bin . Im Autostart fand sich run.bat. Diese beinhaltete einen powershell-Script zum herunterladen weiterer Dateien. Den Angriff im März habe ich durch veränderte DNS-Einträge (auf 8.8.8.8 und 9.9.9.9) bemerkt. Nach der Exch.-Wiederherstellung und Überprüfung mit EOMT keine Fehler mehr. Die Ausführung von PS-Scripten und powershell.exe habe ich vorsorglich gesperrt. Seitdem vorerst alles ruhig.
Small Office Security von kaspersky ist nicht das was du nutzen solltest, die Select wäre angebracht!

Frank
Vision2015
Lösung Vision2015 21.07.2021 um 20:01:14 Uhr
Goto Top
Zitat von @148656:

Zitat von @Vision2015:

Zitat von @148656:

Schöne das Wir da einer Meinung sind.
Wer hätte das Mal gedacht 😉

Gut... dann gibbet nur 2 optionen.
1. eine fachmännische expertise... mit Bewertung
2. alles Neumachen!

Frank

Eigentlich 3.
Der Experte könnte zu dem Ergebnis kommen, das Option 2 durchzuführen ist.

Es bleibt auf jeden Fall spannend 😉
@dbox3 steht ein Budget zur Verfügung?
Hier muss nicht nur Exchange "gerettet" werden.
die expertise kannst du dir schon hinter die binde stecken... wir reden von einer Praxis mit Medistar!
ich will jetzt nicht von datenschutz rumjammern... aber der weitere betrieb ist nicht tragbar!
das muss neu, das muss geprüft werden!

Frank
dbox3
dbox3 21.07.2021 um 20:17:34 Uhr
Goto Top
die expertise kannst du dir schon hinter die binde stecken... wir reden von einer Praxis mit Medistar!
ich will jetzt nicht von datenschutz rumjammern... aber der weitere betrieb ist nicht tragbar!
das muss neu, das muss geprüft werden!

Da hast Du sicher recht. Momentan ist das komplette system isoliert und wartet nur darauf, neu installiert zu werden, was am nächsten WE auch der Fall sein wird. Deshalb auch der ganze Thread hier. Solange keine Verbindung nach Aussen vorhanden, ist das Risiko minimal. Ansonsten nehme ich mir die Vorschläge zu Herzen.
Danke.
148656
148656 21.07.2021 um 20:18:02 Uhr
Goto Top
Zitat von @Vision2015:

Zitat von @148656:

Zitat von @Vision2015:

Zitat von @148656:

Schöne das Wir da einer Meinung sind.
Wer hätte das Mal gedacht 😉

Gut... dann gibbet nur 2 optionen.
1. eine fachmännische expertise... mit Bewertung
2. alles Neumachen!

Frank

Eigentlich 3.
Der Experte könnte zu dem Ergebnis kommen, das Option 2 durchzuführen ist.

Es bleibt auf jeden Fall spannend 😉
@dbox3 steht ein Budget zur Verfügung?
Hier muss nicht nur Exchange "gerettet" werden.
die expertise kannst du dir schon hinter die binde stecken... wir reden von einer Praxis mit Medistar!
ich will jetzt nicht von datenschutz rumjammern... aber der weitere betrieb ist nicht tragbar!
das muss neu, das muss geprüft werden!

Frank

Keine Angst. Ich suche keine Kundschaft face-smile
Das der Drops schon gelutscht ist, vermute ich schon länger.
Vision2015
Vision2015 21.07.2021 um 20:22:34 Uhr
Goto Top
Zitat von @dbox3:

die expertise kannst du dir schon hinter die binde stecken... wir reden von einer Praxis mit Medistar!
ich will jetzt nicht von datenschutz rumjammern... aber der weitere betrieb ist nicht tragbar!
das muss neu, das muss geprüft werden!

Da hast Du sicher recht. Momentan ist das komplette system isoliert und wartet nur darauf, neu installiert zu werden, was am nächsten WE auch der Fall sein wird. Deshalb auch der ganze Thread hier. Solange keine Verbindung nach Aussen vorhanden, ist das Risiko minimal. Ansonsten nehme ich mir die Vorschläge zu Herzen.
Danke.
das system hat also keine verbindung nach außen? face-smile
nun, du scheinst nur Igel Leistungen zu machen, den chipkarten werdet ihr nicht ein lesen können!
das zu isoliert!

Frank
dbox3
dbox3 21.07.2021 um 20:49:27 Uhr
Goto Top
das system hat also keine verbindung nach außen? face-smile face-smile
nun, du scheinst nur Igel Leistungen zu machen, den chipkarten werdet ihr nicht ein lesen können!
das zu isoliert!
Man kann immer noch ohne VDSM arbeiten. Mittlerweile denke ich, das es auch besser so ist. Ich meine ohne die TI.
148656
148656 21.07.2021 um 20:57:39 Uhr
Goto Top
Ähm, ich glaube du unterschätzt die prensliche Situation, in der Du und die Praxis steckt.
Vision2015
Vision2015 21.07.2021 um 21:01:33 Uhr
Goto Top
Zitat von @dbox3:

das system hat also keine verbindung nach außen? face-smile face-smile
nun, du scheinst nur Igel Leistungen zu machen, den chipkarten werdet ihr nicht ein lesen können!
das zu isoliert!
Man kann immer noch ohne VDSM arbeiten. Mittlerweile denke ich, das es auch besser so ist. Ich meine ohne die TI.

da sage ich jetzt mal nix zu....
du hast das system mitlerweile so über 3 Monate am Laufen, wir wissen beide, das kannst du nicht schönreden!
auch würde auch nicht mehr bis zum WE abwarten, sondern gleich morgen früh anfangen!
die Nacht kannst du für eine letzte Datensicherung nutzen.
wenn das mal rauskommt, hast du ein mächtiges Problem.
Frank
Vision2015
Vision2015 21.07.2021 um 21:02:40 Uhr
Goto Top
Zitat von @148656:

Ähm, ich glaube du unterschätzt die prensliche Situation, in der Du und die Praxis steckt.
meine vermutung ist, er ist die Praxis....

Frank
148656
148656 21.07.2021 um 21:06:21 Uhr
Goto Top
Zitat von @Vision2015:

Zitat von @148656:

Ähm, ich glaube du unterschätzt die prensliche Situation, in der Du und die Praxis steckt.
meine vermutung ist, er ist die Praxis....

Frank

Ahh, also ein PC-Doktor face-wink

C.C.
dbox3
dbox3 21.07.2021 um 22:11:45 Uhr
Goto Top
Ist hier einer sauer, dass sein Berufstand nicht ausreichend respektiert wird? Ich bin es jedenfalls nicht, der die andere verhönt und schätze die fachliche Meinung sehr. Diese wollte ich hier finden, was auch teilweise geklappt hat. Dafür vielen Dank. Mehr wollte ich auch nicht.
148656
148656 22.07.2021 aktualisiert um 08:59:23 Uhr
Goto Top
Moin Herr Doktor,

Zitat von @dbox3:

Ist hier einer sauer, dass sein Berufstand nicht ausreichend respektiert wird? Ich bin es jedenfalls nicht, der die andere verhönt und schätze die fachliche Meinung sehr. Diese wollte ich hier finden, was auch teilweise geklappt hat. Dafür vielen Dank. Mehr wollte ich auch nicht.

Welchen Berufstand meinen Sie genau?
Die Anzahl der Berufe, innerhalb der Informationstechnologie ist nicht gerade gering.

Ich habe vollstes Verständnis dafür, dass man sich in Anbetracht mancher "IT-Fachkräfte", lieber selbst um die vermeintlich leichten Tätigkeiten kümmert.
Aber kommen wir lieber zur erhofften fachlichen Meinung.
Die Rechtslage sieht vor, dass ein Vorfall innerhalb von 72h den zuständigen Behörden gemeldet wird. Da ihnen ihr Provider seit Ende März den Hinweis zukommen lässt, dass bei ihnen die Ka*ke am Dampfen ist, sollten sie umgehen 2 Aspirin schlucken und bei Fragen oder Risiken, die Datenschutzbehörde ihres Landes sowie ihren Anwalt konsultieren. Die DSGVO beschreibt in Art. 82 und 83 alle Nebenwirkungen.

Gruß
CaseClosed
Drohnald
Lösung Drohnald 22.07.2021 um 09:48:33 Uhr
Goto Top
Allgemeiner Konsens: Mach alles neu, hatten wir ja schon.

Selbst bei 20 oder mehr Benutzer ist das kein riesen Aufwand, aber ein Wochenende ist etwas knapp. Ich würde sicherheitshalber eine Woche planen, sonst stehst du unter Zeitdruck und Zeitdruck verursacht Fehler. Glaub mir, das Letzte was du willst, ist einen Monat später feststellen, dass du einen Fehler gemacht hast und nochmal alles neu machen musst.

Nur Dateien z.B. aus Veeam zurücksichern ist nur ein Problem, wenn diese Dateien verseucht wären und angeklickt werden. Das sollte ggf. überprüft werden (Klassiker: Office-Dokumente mit Makros) und nur wirklich selbst gebasteltes genommen werden, ansonsten holst du dir den Müll wieder drauf.

Gaaanz grobe Checkliste:
- Alles vom Netz nehmen
- Fullbackup von allem, am besten auf ein externes Medium
- Export der Postfächer als .PST (damit hast du zumindest deine Mails noch)
- Domäne komplett neu, also 2x Domaincontroller usw.
- QNAP NAS komplett neu
- Exchange Neu + PSTs importieren
- Sondersoftware neu installieren (lassen)
- Dateien zurücksichern (und NUR Dateien. Fileservices die man als unverseucht betrachten kann, selbst erstelle PDFs oder Bilder z.B.)


Ich hoffe das hilft dir weiter.
Viel Erfolg!
dbox3
dbox3 22.07.2021 um 10:21:44 Uhr
Goto Top
Wer sich seit über 15 Jahren mit Medistar herumschlagen musste wie ich, sammelt einige Erfahrungen mit der IT. Die letzte Problemlösung durch unseren Betreuer, die mir spontan auffällt, hat > 1 Jahr gedauert. Auch manche Lösungen, jetzt rückwirkend betrachtet, waren nicht von der feinsten Art: Firewall dauerhaft abschalten, Freigabe von Ordner und ganzer Laufwerke mit Vollzugriff für Jeden, Standardpasswörter für Oracle-Admin und Benutzer um nur einige davon zu nennen. "... ach Kaspersky macht bei Medistar häufig Probleme, dass ist bekannt": dauerhaft abgeschaltet, Hauptsache es funktioniert. In der DSVGO stehen sicher viele Dinge drin, die in der Praxis mit drastischen Konsequenzen geandet werden können, dass ist selbst mir bekannt. Ich suche hier jedoch nach Lösungen und nicht nach Belehrung in Sachen DSVGO (nichts für ungut).
Vision2015
Lösung Vision2015 22.07.2021 um 10:34:53 Uhr
Goto Top
Zitat von @dbox3:

Wer sich seit über 15 Jahren mit Medistar herumschlagen musste wie ich, sammelt einige Erfahrungen mit der IT. Die letzte Problemlösung durch unseren Betreuer, die mir spontan auffällt, hat > 1 Jahr gedauert. Auch manche Lösungen, jetzt rückwirkend betrachtet, waren nicht von der feinsten Art: Firewall dauerhaft abschalten, Freigabe von Ordner und ganzer Laufwerke mit Vollzugriff für Jeden, Standardpasswörter für Oracle-Admin und Benutzer um nur einige davon zu nennen. "... ach Kaspersky macht bei Medistar häufig Probleme, dass ist bekannt": dauerhaft abgeschaltet, Hauptsache es funktioniert. In der DSVGO stehen sicher viele Dinge drin, die in der Praxis mit drastischen Konsequenzen geandet werden können, dass ist selbst mir bekannt. Ich suche hier jedoch nach Lösungen und nicht nach Belehrung in Sachen DSVGO (nichts für ungut).

ach Kaspersky macht bei Medistar häufig Probleme, dass ist bekannt":
ja, aber auch nur wenn die falsche version genommen wird, und nicht die richtigen ausnahmen erstellt werden!
du hast die lösung bekommen, was brauchst du noch?
und noch einmal, dein Problem wäre an einem WE erledigt gewesen, und dein System wäre sauber gewesen!
über das Problem mit der Sicherheislücke brauchen wir nicht reden, das wirft dir keiner vor- das problem, das du mehr als 3 Monate wartest, bis du tätig wirst, ist deine schuld- und ja, da ist eine Belehrung in Sachen DSVGO angebracht! auch wenn du es nicht hören möchtest! Du haftest dafür, und kein anderer.... sorry, aber den Vorwurf musst du dir gefallen lassen!

Frank
lcer00
lcer00 22.07.2021 um 10:45:27 Uhr
Goto Top
Hallo,
Zitat von @dbox3:

Wer sich seit über 15 Jahren mit Medistar herumschlagen musste wie ich, sammelt einige Erfahrungen mit der IT. Die letzte Problemlösung durch unseren Betreuer, die mir spontan auffällt, hat > 1 Jahr gedauert. Auch manche Lösungen, jetzt rückwirkend betrachtet, waren nicht von der feinsten Art: Firewall dauerhaft abschalten, Freigabe von Ordner und ganzer Laufwerke mit Vollzugriff für Jeden, Standardpasswörter für Oracle-Admin und Benutzer um nur einige davon zu nennen. "... ach Kaspersky macht bei Medistar häufig Probleme, dass ist bekannt": dauerhaft abgeschaltet, Hauptsache es funktioniert. In der DSVGO stehen sicher viele Dinge drin, die in der Praxis mit drastischen Konsequenzen geandet werden können, dass ist selbst mir bekannt. Ich suche hier jedoch nach Lösungen und nicht nach Belehrung in Sachen DSVGO (nichts für ungut).

Das kann ich gut nachvollziehen, ist bei uns oft ähnlich gewesen. Mann muss nur gut unterscheiden worum es geht. Rummurksen seitens der Praxissoftwarehersteller & deren Vertriebspartner erzeugt häufig Risiken in der IT oder schlechte Workflows. Hier aber ist das Kind schon in den Brunnen gefallen. Da ist halt ein Notfall-Stop angezeigt. Und wenn keine Expertise zum Säubern des Systems vorhanden ist, heißt das eben - Komplettes Neuaufsetzen. Diese Entscheidung muss der Praxisinhaber dann halt treffen (man sollte meinen, dass diese Art von schmerzhafter aber notwendiger Entscheidung einem Mediziner geläufig sein sollte.).

Ich suche hier jedoch nach Lösungen und nicht nach Belehrung in Sachen DSVGO (nichts für ungut).
Und wir wollen hier helfen. Leider ist die Frage nicht immer identisch mit dem Problem.

Thema DSGVO: Euch ist bewusst, dass im Falle eines (wahrscheinlichen) Datenabflusses jede betroffene Person informiert werden muss? Also ein Brief für jeden Patientendatensatz? Schon das wäre für mich ein Grund, eine Fachfirma zu beauftragen, den Vorfall zu analysieren. Vielleicht kann man ja eingrenzen, was passiert ist und ein Datenabfluss wird als Ergebnis der Analyse für unwahrscheinlich angesehen?

Grüße

lcer
lcer00
lcer00 22.07.2021 aktualisiert um 23:02:00 Uhr
Goto Top
und es sei noch auf folgenden Beitrag hier im Forum verwiesen ....

Wirklichkeitsfremd: Wann eine Ransomware-Attacke gemeldet werden muss - EDSA

Grüße

lcer
dbox3
dbox3 22.07.2021 aktualisiert um 23:02:17 Uhr
Goto Top
Glaub mir, das Letzte was du willst, ist einen Monat später feststellen, dass du einen Fehler gemacht hast und nochmal alles neu
machen musst.
dem stimme ich zu

Da ist halt ein Notfall-Stop angezeigt. Und wenn keine Expertise zum Säubern des Systems vorhanden ist, heißt das eben - > Komplettes Neuaufsetzen.
ist bereits in der Pipeline

und es sei noch auf folgenden Beitrag hier im Forum verwiesen ....
Wirklichkeitsfremd: Wann eine Ransomware-Attacke gemeldet werden muss - EDSA

spannende Diskussion

Danke an Alle für die Tipps, die Rettung kommt morgen ...
Archeon
Archeon 23.07.2021 aktualisiert um 08:04:52 Uhr
Goto Top
Zitat von @dbox3:
Danke an Alle für die Tipps, die Rettung kommt morgen ...
Darf man fragen, wie die aussehen wird?
Vision2015
Vision2015 23.07.2021 um 07:58:07 Uhr
Goto Top
Zitat von @Archeon:

Zitat von @dbox3:
Danke an Alle für die Tipps, die Rettung kommt morgen ...
Darf man fragen, wie du aussehen wird?

wiso willst du wissen "wie du aussehen wird" ? suchst du nen reichen Doc? face-smile


Also für alle Neugierigen,
ich habe gestern mit dem TO Telefoniert, heute wird das Netzwerk auf links gezogen- und alles neu Installiert.
ein Dienstleister wird vor ort sein, alle Nutzdaten werden geprüft usw...
falls rückfragen sind, hat der TO meine Handy Nr, und ruft mich an...
auch hat er versprochen, beim nächstenmal sofort zu handeln, und nicht mehr solange zu warten!

Frank
Archeon
Archeon 23.07.2021 um 08:07:28 Uhr
Goto Top
wiso willst du wissen "wie du aussehen wird" ? suchst du nen reichen Doc?
Oh man wie peinlich 🤦‍♂️ danke.

Also für alle Neugierigen,
ich habe gestern mit dem TO Telefoniert, heute wird das Netzwerk auf links gezogen- und alles neu Installiert.
ein Dienstleister wird vor ort sein, alle Nutzdaten werden geprüft usw...
falls rückfragen sind, hat der TO meine Handy Nr, und ruft mich an...
auch hat er versprochen, beim nächstenmal sofort zu handeln, und nicht mehr solange zu warten!
Und auch hier, danke face-smile
heilgecht
heilgecht 23.07.2021 um 11:06:07 Uhr
Goto Top
Zitat von @Vision2015:

Zitat von @Archeon:

Zitat von @dbox3:
Danke an Alle für die Tipps, die Rettung kommt morgen ...
Darf man fragen, wie du aussehen wird?

wiso willst du wissen "wie du aussehen wird" ? suchst du nen reichen Doc? face-smile


Also für alle Neugierigen,
ich habe gestern mit dem TO Telefoniert, heute wird das Netzwerk auf links gezogen- und alles neu Installiert.
ein Dienstleister wird vor ort sein, alle Nutzdaten werden geprüft usw...
falls rückfragen sind, hat der TO meine Handy Nr, und ruft mich an...
auch hat er versprochen, beim nächstenmal sofort zu handeln, und nicht mehr solange zu warten!

Frank

Servus,

ich bin sehr neugierig was nach der Untersuchung rauskommt.
Wie wurden die Systeme befallen? Gab es Backdoors, Trojaner, Ransomware? Neue unbekannte AD Benutzer? AD Passwörter geklaut? Hat Antivierensoftware angeschlagen? Wurden Phishing Mails an alle Kunden von gehacktem Exchange verschickt?
Die Information hilft bestimmt auch anderen die Vielleicht mal in der ähnlichen Situation stecken.

MfG
lcer00
lcer00 23.07.2021 um 11:19:13 Uhr
Goto Top
Zitat von @heilgecht:

ich bin sehr neugierig was nach der Untersuchung rauskommt.
Wie wurden die Systeme befallen? Gab es Backdoors, Trojaner, Ransomware? Neue unbekannte AD Benutzer? AD Passwörter geklaut? Hat Antivierensoftware angeschlagen? Wurden Phishing Mails an alle Kunden von gehacktem Exchange verschickt?
Die Information hilft bestimmt auch anderen die Vielleicht mal in der ähnlichen Situation stecken.
nö. würde es nicht. Was böse Computerviren und Hacker so können ist bekannt und mittlerweile überall nachzulesen.

Interessant wären hier eher Infos, ob es spezifische Probleme bei der Wiederherstellung gab. Und wie lange das Neuaufsetzen bis zur Betriebsfähigkeit gedauert hat. Wenn jemand dieses Thread später nachliest, weil er sich in einer ähnlichen Situation befand, wäre das wohl eine hilfreich um das weitere Vorgehen zu planen.

Grüße

lcer
dbox3
dbox3 23.07.2021 um 11:35:30 Uhr
Goto Top
OK. Rückmeldung folgt.
dbox3
dbox3 27.07.2021 um 18:49:42 Uhr
Goto Top
Es ist so weit. Ich habe so wie von Drohnald vorgeschlagen vorgegangen und (fast) alles geht wieder. Es gab einige Spolpersteine, insgesamt betrachtet aber nichts unlösbares. Die Domäne und Peripherie neu (13 Clients) hat etwas länger als einen Tag gedauert. Exchange wieder neu einrichten hat noch 1/2 Tag gekostet. Medistar war etwas aufwändig, geht aber auch. Das einzige Problem, vor dem ich stehe, ist immer noch Exchange. Datenbanken, Zertifikate etc. habe ich aus der Serversicherung geholt wieder eingebunden. Die Verbindung mit Outlook wird sofort aufgebaut, es werden jedoch keine Emails empfangen und auch keine versendet. Mangels Zeit habe ich noch nicht viel gegoogelt, wird aber auch gelöst. Hat jemand vielleicht einen schnellen Tipp?
Danke
Vision2015
Vision2015 27.07.2021 um 19:31:48 Uhr
Goto Top
Moin...
wie hast du den vorher deine mails bekommen... smarthost? POPCON etc?

Frank
dbox3
dbox3 27.07.2021 um 20:02:25 Uhr
Goto Top
Moin, moin.
wie hast du den vorher deine mails bekommen... smarthost? POPCON etc?

Direkt über SMTP.
Vision2015
Vision2015 27.07.2021 um 20:11:47 Uhr
Goto Top
Zitat von @dbox3:

Moin, moin.
wie hast du den vorher deine mails bekommen... smarthost? POPCON etc?

Direkt über SMTP.

im router das nötige portvorwarding auf die ip des exchange gestellt?
dbox3
dbox3 27.07.2021 um 20:19:38 Uhr
Goto Top
Datenbanken sind eingebunden, Status im Outlook wie im OWA: Verbunden, alle Ordner sind auf dem neuesten Stand. Ich habe ein neues Profil für Outlook angelegt, Konto für Exchange neu eingerichtet und verbunden. Hat ohne zu murksen geklappt. Verbindung steht, Senden und Empfangen bleibt jedoch aus. Exchange wurde im RecoveryMode installiert. Virtuelle Verzeichnisse angepasst, Zertifikat importiert. Zwischenzeitlich gab es nach dem KB5004778 ein Problem mit Zertifikaten. Gelost durch ein neu erstelltes Zertifikat für Microsoft Exchange Server Auth Certificate. Sonst lief alles reibungslos ab. Wo kann es noch hacken?
dbox3
dbox3 27.07.2021 um 20:23:44 Uhr
Goto Top
Portforwarding wieder freigeschaltet. Aber selbst die internen Mails kommen nicht an face-sad
dbox3
dbox3 27.07.2021 um 20:27:48 Uhr
Goto Top
Korrektur: Versenden geht anscheinend, es kommt aber nichts an.
Vision2015
Vision2015 27.07.2021 um 20:33:35 Uhr
Goto Top
hast du mal mit MXToolbox geprüft ob du den Exchange aus dem internet erreichen kannst?
Windows Firewall angepasst?
geht owa von extern?

Frank
dbox3
dbox3 27.07.2021 um 20:41:32 Uhr
Goto Top
Habe geradee überprüft: geht nicht. Bin dabei, den Router nochmal zu checken.
Vision2015
Vision2015 27.07.2021 um 20:45:24 Uhr
Goto Top
Zitat von @dbox3:

Habe geradee überprüft: geht nicht. Bin dabei, den Router nochmal zu checken.

ok was genau prüfst du im router, hast du mit MXTollbox geprüft, und wie war genau die antwort?
dbox3
dbox3 27.07.2021 um 21:31:29 Uhr
Goto Top
Die Lösung/Problem ist wahrscheilich der Router oder die Windows Firewall: Ich habe mit Wireshark den Datenverkehr auf dem Exch. augezeichnet: auf dem Port 25 sind nur Loopback-Pakete vorhanden.
dbox3
dbox3 27.07.2021 um 21:32:37 Uhr
Goto Top
Die MXTools lokal funktionieren nicht: mmc stürzt ab. Von extern ist der Server nicht erreichbar.
Vision2015
Vision2015 27.07.2021 um 21:35:09 Uhr
Goto Top
Zitat von @dbox3:

Die MXTools lokal funktionieren nicht: mmc stürzt ab. Von extern ist der Server nicht erreichbar.

was sagen den die logs dazu?
dbox3
dbox3 27.07.2021 um 22:06:59 Uhr
Goto Top
Welche sollte ich mir als erstes anschauen: FrontEnd oder Hub?
Vision2015
Vision2015 29.07.2021 um 21:34:54 Uhr
Goto Top
Moin...

case closed

Frank