Hallo,
ich schreibe mal, was heute in meine Firma so los war (bitte nicht vergessen, es war ein "Freitag der 13." !!)
Gegen 9.30 Uhr habe ich mir einen doppelten Kaffee geholt, meine "typischen" Web-Seiten studiert (www.heise.de, www.fachinformatiker.de, etc.) und unseren Fileserver (Datenbestand ca. 280 GB) gebackupt.
Mitten in der Sicherung eines Clients (er enthält ein CVS; ist also des Sichern würdig :-)) ****t unser Fileserver ab. Innerhalb von 2 Minuten haben einige Mitarbeiter bemerkt, das was nicht stimmt und rufen mich an. *die angestellten Mutmaßungen sind nicht wiedergabewürdig*
Ich stüze in den Serverraum. Bildschirm an --> Bluescreen mit "KMODE_EXCEPTION".
Weitere Mitarbeiter kommen hinzu. Jetzt wird experimentiert. KMODE_EXCEPTION bedeutet laut MS irgend einen Hardwarefehler.
Jetzt wird Rebootet --> läuft ca. 2 Minuten, dann erneut Bluescreen. Wieder Reboot, jetzt ohne
Netzwerk, Remotedienste abgeschaltet --> nach Neustart wieder Bluescreen
Jetzt noch die ArcServe-Prozesse abgestellt und SP2 installier --> Reboot --> System läuft augenscheinlich (jetzt ist es Mittagzeit, d.h. 12 Uhr).
Interessierte Programmierer (normaler weise kommt diese Spezies nur zum Mittag, Rauchen und Kaffee aus ihren Löchern) stecken die Köpfe in den Serverraum und fragen, wie es steht. Hier möchte jemand Feierabend machen....
OK. Das System läuft jetzt 15 Minuten. Keine Ahnung woran das liegt und erstmal extern essen. Vom Mittag wieder da --> Fileserver wieder tot. Keine Ahnung, was es noch sein kann.
System ohne Netz (Kabel abgezogen, um Zugriffe auf die Freigaben zu vermeiden) gebootet und SP3 installier. Neustart, Netzkabel wieder rein --> Bluescreen.
Ich erinnere mich an das Programm 'smbnuke', welches auf der Security-Mailingliste kusierte und ich an einem neu installieren Client ausprobierte. Funktioniert. Diese Windows-Sicherheitslöcher sind zu geil *freu*.
Auf den Geschmack gekommen, Clients genukt.
- Windows XP --> Reboot
- Win XP + SP1 --> Kein Erfolg
- NT 4 --> Kein Erfolg
- W2K Wrkstation --> Reboot
- W2K + SP3 Workstation --> Reboot
- Fileserver (W2K Server + SP3) --> Bluescreen (KMODE_EXCEPTION)
*viel mehr konnte man auch nicht mehr kaputt machen*
Ok. Patch von *** gezogen, installiert. Loch anscheinend gefixt. Es war jetzt ca. 16.00 Uhr und die Mitarbeiter verließen schon ab 15 Uhr in Schwärmen das Haus. Fileserver geht nicht, keine Arbeit möglich.
Das System arbeitet wieder stabil wie zuvor.....
Was lernt man aus diesem kleinen Bericht ? c´t lesen hilft.....
Und einschlägige Security-Listen abonnieren.
Es stellt sich nur noch eine Frage: Wer war der Urheber ? Für mich steht fest, das jemand sich 'smbdie.exe' (ich hatte nur die Linux-Version auf meinem System; daß es eine Windows-Version auch gibt, wußte ich nicht) aus dem Netz gezogen hat und ein bischen im Intranet "spielte". Aber als die erste Mail an alle MA ging, daß der Fileserver gestoren ist, hätte ich aufgehört. Die betreffende Person hat es aber nicht. Jetzt laufen die "Fahndungen", wer dieses Programm hat (Web-Zugriff ist nur über den Proxy möglich; und IPs haben eine Lease-Time von 60 Tagen). Mal sehen,was daraus wird.
Für mich war es wieder mal ein spannender, Freitag der Dreizehnte.
gruß Rony