Jump to content

Wenn alle laufenden DCs gehackt würden - Ransomware

Täglichlerner
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

NilsK Grand Master

NilsK   2.934

Geschrieben
Geschrieben

Moin,

 

vor 8 Stunden schrieb daabm:

Aber wie macht das KMU dann denn einen "Restore from nothing"?

je nach Perspektive gibt es in KMU nichts anderes als "Restore from nothing". Oder eher "Restore from klaubing anything zusammen that you can find". Der Normalfall in KMU ist, dass irgendwas gesichert wird, aber eben nicht mit einem Blick auf Wiederherstellbarkeit.

 

In sehr kleinen Umgebungen ist es ja oft sogar denkbar, "von nichts" wieder anzufangen. Wir diskutieren hier ein Netzwerk von "10-15 Usern". Wie lange wird es da schon dauern, die Berechtigungen neu zu machen, wenn man die eigentlichen Datenbestände irgendwie wieder an den Start kriegt?

 

Je größer die Umgebung, desto mehr sollte man über mehrere Alternativen für das Recovery nachdenken. Aber wenn man erst mal anfangen muss, einem Kunden zu erklären, dass er sich nicht um das Backup, sondern um das Recovery kümmern sollte und dass es nicht nur das Szenario "Worst Case" gibt, dann weiß man eigentlich schon, dass man auch aufhören kann zu reden. ;-)

 

Gruß, Nils

 

  • Like 1
Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.034

Geschrieben
Geschrieben
vor 2 Stunden schrieb NilsK:

Wie lange wird es da schon dauern, die Berechtigungen neu zu machen, wenn man die eigentlichen Datenbestände irgendwie wieder an den Start kriegt?

Bei solchen Kunden gibts im Allgemeinen sowieso keine Berechtigungen. Da hat fast jeder überall aufm Fileserver usw. Berechtigungen und der Rest is meist egal.

  • Haha 1
Link zu diesem Kommentar
Täglichlerner Explorer

Täglichlerner   12

Geschrieben
  • Autor
Geschrieben

Moin,

danke erst mal für eure hilfreiche Beteiligung.

Wollte noch - bevor ich mit meiner ausführlichen Antwort und meinem Testbericht beginne - etwas von cj-Berlin wissen:

 

Er schrieb: "Physische DCs mit den alten Namen und IP-Adressen wieder promoten".

 

Geht das wirklich so? Sind da nicht eigene SIDs der Maschinen, wenn ich nun nicht den "hardware "plattgemachten DC" neu aufsetze, sondern eine neue Hardware nehme?

Bislang habe ich es testweise so gemacht: neue Hardware, neuer Name und IP, bei der "echten" DCvm angemeldet. Dann in der DCvm alle Metadaten der beiden korrupten DC gelöscht. Dann den hardware-DC promotet und in einem Test-Client (Image eines PROD-Clients) die DNS angepasst.

 

Also passiert nichts, wenn ich in den sauberen neuen DCs die gleichen Namen und IPs nehme?

 

Ansonsten würde ich gerne den hier Beteiligten eine ausführlichere Beschreibung des Recovery anbieten, um auch auf eventuelle Lücken zu sprechen zu kommen.

 

Sicher ist das hier für einen >50 Betrieb kein Thema, aber ggf. gibt es ja solche Leser von KMU, für die das interessant wäre?

 

Muriel

  • Like 1
Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.934

Geschrieben
Geschrieben

Moin,

 

du kannst deine Überlegungen hier gern posten. Wir können dann sicher zu dem einen oder anderen auch etwas sagen. Aber vorsichtshalber: Erwarte bitte keine umfassende Analyse und Beratung. Das ist eine Dienstleistung, die einfach Geld kostet. Die meisten hier verdienen ihren Unterhalt mit sowas.

 

Ein Forum ist gut geeignet, um technische Detailprobleme zu diskutieren. Es ist nicht geeignet für Konzepte und Beratung.

 

Gruß, Nils

 

  • Like 2
Link zu diesem Kommentar
Täglichlerner Explorer

Täglichlerner   12

Geschrieben
  • Autor
Geschrieben

Ok, verstanden.

 

Dann würde ich mich freuen, wenn ich ausschließlich zu diesem Punkt der gleichen Namen und IPs was hören würde.

Und zwar ohne ;-

 

würde gerne von cj-Berlin wissen:

 

Er schrieb: "Physische DCs mit den alten Namen und IP-Adressen wieder promoten".

 

Geht das wirklich so? Sind da nicht eigene SIDs der Maschinen, wenn ich nun nicht den "hardware "plattgemachten DC" neu aufsetze, sondern eine neue Hardware nehme?

Bislang habe ich es testweise so gemacht: neue Hardware, neuer Name und IP, bei der "echten" DCvm angemeldet. Dann in der DCvm alle Metadaten der beiden korrupten DC gelöscht. Dann den hardware-DC promotet und in einem Test-Client (Image eines PROD-Clients) die DNS angepasst.

Danke.

Link zu diesem Kommentar
Täglichlerner Explorer

Täglichlerner   12

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Danke.

So habe ich es vor 2 Wochen in einer Testumgebung gemacht mit unter der Annahme, dass alles alte durch Ransom korrupt ist und das auch schon unbemerkt vor 2 Wochen passiert sein kann was die DCvm angeht:

 

Bis hierher lief die Testung ohne sichtbare Macken durch.

Kommt jetzt drauf an, wann die Daten korrupt wurden durch Hack und wie sauber die Sicherungen waren.

 

Hoffe, euch nicht mit diesem Newbie-Teil zu sehr aufgehalten zu haben.

Und noch mal vielen Dank allen !

 

bearbeitet von Täglichlerner
Wesentliches
  • Like 1
Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.934

Geschrieben
Geschrieben (bearbeitet)

Moin,

 

der Witz an den SIDs ist ja gerade, dass diese unabhängig vom Namen sind. Die sind dazu da, ein System (bzw. weiter gefasst auch einen User oder eine Gruppe) auch dann eindeutig zu identifizieren, wenn sich der Name geändert hat. Umgekehrt ist ein neues Objekt mit einem "alten" Namen eben ein neues Objekt, das mit dem altern (bis eben auf den Namen) nichts zu tun hat. Und wie Evgenij schon schreibt, geht es beim Beibehalten des Namens und der IP-Adresse eigentlich nie um irgendwas "im AD", sondern eigentlich immer um Dinge wie Namen in vorhandenen Skripten, in vorhandenen Konfigurationen auf anderen Systemen usw.

 

Und bezüglich deines Recovery-Tests: Das kann man schon so machen. Ob es zur Situation passt, ist innerhalb eines Forums nicht sinnvoll festzustellen, aber die Schritte passen prinzipiell schon.

 

Gruß, Nils

 

bearbeitet von NilsK
Link zu diesem Kommentar
tesso Veteran

tesso   375

Geschrieben
Geschrieben

Ich finde das Vorgehen grenzwertig.

Wenn du einen Ransomware Angriff hattest, woher willst du wissen seit wann du infiltriert wurdest? Das kann Monate (mitunter auch Jahre) vorher passiert sein.

Den letzten verbliebenen DC würde ich per se nicht mehr als vertrauenswürdig erachten. Wenn du Pech hast wird die neu aufgesetzte Umgebung von genau diesem DC ausgehend demnächst wieder zerstört.

Link zu diesem Kommentar
Täglichlerner Explorer

Täglichlerner   12

Geschrieben
  • Autor
Geschrieben

Klar kann man da spekulieren: jahre-, monatelange Infiltrierung.

Dann kann man ja theoretisch ALLES vergessen. Selbst die Datenbanken von Wochen oder Monaten wären obsolet.

Ich betrachte den letzten verbliebenen DC auch nicht als vertrauenswürdig. Nehme mal einen, der zwei, drei, vier Wochen alt ist (tombstone 365) und nicht im Netz war.

 

Aber wie ist die Alternative: DCs neu aufsetzen und alle nötigen Einstellungen neu?

Und was ist, wenn eine ERP Datenbank gehackt ist, ein Mitgliedserver/Fileserver mit einem PDF z.B.??

 

Läßt sich ein KMU für >100tsd ein Anti-Hacker-Team kommen??

Oder wieder Karteikarten?

 

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...