ProcMon strikes again

Ein Kollege bat mich um Unterstützung bei einer Migration von Windows 2003 auf Windows 2008 R2 (und dem Umstieg von Exchange 2003 auf Exchange 2010). Die Benutzer hatten ihre Citrix-Profile und das Home-Laufwerk auf dem Windows 2003 DC. Nachdem die Daten auf den neuen Server umgezogen worden sind, mussten noch die entsprechenden Einstellungen in den AD-Eigenschaften der Benutzer gemacht werden. Interessanterweise zogen diese aber nicht; angeblich wurde das Basislaufwerk nicht gefunden bzw. es gab keinen Zugriff darauf. Nach einigem Rumprobieren (das Event-Log gab mehr nicht her) habe ich mal wieder die Allzweckwaffe PROCMON gezogen. Ich habe auf die versteckte Freigabe für die Home-Verzeichnisse gefiltert und der Kollege hat sich angemeldet.

Und siehe da: ZUGRIFF VERWEIGERT. Von hier aus war es zur Lösung dann kein weiter Weg mehr: bei den Freigabeberechtigungen wurde nicht daran gedacht, dass diese standardmäßig nur auf "Lesen" gesetzt sind. Und was wissen wir alle noch aus der Windows-Schulung?;-) Bei der Kombination von NTFS- und Freigaberechten zieht das Schärfere. Nebenbei habe ich dann noch entdeckt, dass bei einem Benutzer noch der alte Pfad eingetragen war.

Bei den Profilen gab es dann wohl noch einen weiteren Fehler, den der Kollege dann in der Zwischenzeit gefunden hatte. Der Windows-Teil ist damit fast abgeschlossen und ich kann heute Abend endlich den alten DC herunterstufen und die Mailboxen verschieben.

Ich kann den Jungs von SYSINTERNALS gar nicht genug danken!

PS: Man sollte allerdings nicht vergessen das Programm wieder zu beenden. Offensichtlich frisst es nach längerer Laufzeit alle Resourcen auf. Vielleicht wird es doch mal Zeit, dass ich anfange das SYSINTERNALS-Buch zu lesen;-)

Und DIE wollen Zugriff auf Vorratsdaten bekommen?

vor einiger Zeit wurde ja in einen Server der Bundespolizei eingebrochen. Offensichtlich hat man die Systeme jetzt einer eingehenden Prüfung unterzogen und das Ergebnis war erschütternd:

• veraltete Hard- und Software
• Sicherheitssysteme sind, wenn überhaupt vorhanden, unzureichend
• mangelhaft ausgebildete Mitarbeiter
• fehlende Dokumentation
• theoretisch kann jeder Benutzer das System verändern
• Änderungen werden offensichtlich nicht mitgeloggt
• Remotezugriff erfolgt über Klartextprotokolle
• keine vernünftige Absicherung gegen Malware, die über Wechseldatenträger ins System kommen

Da Angreifer (zumindest behauptet der Bericht das) die Systeme manipulieren könnten, stellt sich für mich die Frage, inwiefern die Systeme überhaupt noch vertrauenswürdig sind.

Wenn Systeme der Bundespolizei schon in solch einem Zustand sind, wie sehen dann erst weniger kritische Infrastrukturen aus?

Wie kann so was in einem (angeblichen) High-Tech-Land passieren?

Spass mit OpenSuSE und NVIDIA

Gelegentlich passiert unter Linux mal was, das andere Leute immer nur im Zusammenhang mit Windows erwähnen: das komplette Einfrieren des Rechners. Maximal kann noch die Maus bewegt werden; der Rechner ist aber per Netzwerk nicht mehr erreichbar. Ich habe zwei Verdächtige: entweder ist es der proprietäre NVIDIA-Treiber oder der Google Chromium (der Browser).

Um dem Fehler auf die Spur zu kommen, habe ich den NVIDIA-Treiber deinstalliert. Das System meldete auch brav den Austausch des proprietären Treibers gegen die Open Source Variante, den Noveau-Treiber. Bedauerlichweise startete aber nach einem Reboot X nicht wieder. Ich habe dann versucht per startx das grafische System zu starten und bekam die folgenden Fehlermeldung:

NV: The PCI device 0x10de0649 (GeForce 9600M GT) at 01@00:00:0 has a kernel module claiming it. NV: This driver cannot operate until it has been unloaded. No devices detected.

Der Treibereintrag schien also schon der richtige zu sein (in der xorg.conf stand auch "nv" statt "nvidia"), aber irgend etwas behagte dem System immer noch nicht. Leider scheint es SAX2 zur Konfiguration der Grafikkarte nicht mehr zu geben und ich war jetzt etwas ratlos, wie ich die Grafikkarteneinstellungen ändern sollte.

Google brachte dann wieder die Lösung und die war brutal, aber wirkungsvoll: einfach die xorg.conf löschen! Das System konfiguriert dann alles neu. Und wirklich, danach funktionierte das grafische System wieder.

Und ich sah mich schon die Nacht durchbasteln...

The Case of the completely full hard drive

Neulich an einem Freitag Abend bekam ich einen Anruf von einem Ex-Kunden, der meine Nummer aus XING rausgekramt hat. Er kämpfte schon seit über zwei Stunden mit seinem Exchange-Server; dessen Festplatte (Laufwerk C:) füllte sich rasant. Er hatte zwar schon alles Mögliche gelöscht, aber nach kurzer Zeit war auch dieser Platz wieder aufgebraucht.

Als Erstes tippte ich auf eine SPAM-Attacke und dadurch erzeugte Transaktionsprotokolle. Die Transaktionsprotokolle lagen aber auf einer anderen Partition, so daß dieser Grund ausgeschlossen werden konnte. Das Problem war also: wie stelle ich fest was gerade meine Platte vollschreibt?

Ich bin in solchen Momenten immer wieder erstaunt dass es immer noch Admins gibt, die die Sysinternals-Tools nicht kennen. Ich habe ihn angewiesen, das Tool ProcMon auf dem Rechner zu starten. Zur Erinnerung: ProcMon zeigt in Echtzeit u.a. Festplattenaktivitäten, Registryzugriffe und Netzwerkverkehr an. Per Telefon habe ich ihm dann erklärt, wie man das Logging soweit einschränkt dass nur noch Festplattenaktivitäten angezeigt werden.

Der Erfolg stellte sich sofort ein: zwei Prozesse waren für fast alel Zugriffe verantwortlich. Der eine Prozess war offensichtlich ein Tool für die Überwachung des MegaRAID-Kontrollers und der zweite Prozess war Javaw.exe. Über den Taskmanager beendete er Javaw.exe und sofort war Ruhe. Scheinbar war das Logging des MegaRAID-Tools etwas ausser Kontrolle geraten.

Dank eines Sysinternals-Tools konnten wir den Fehler in weniger als 15 Minuten diagnostizieren und beheben.

PS: Nach langer Wartezeit ist auch endlich das Buch zu den Tools auf dem Markt. "Windows Sysinternals Administrator's Reference" von Mark Russinovich und Aaron Margosis. Über O' Reilly kann man das eBook schon beziehen; die Printausgabe verzögert sich noch etwas.

In eigener Sache...

Heute gibt es mal eine private Ankündigung: es ist soweit. Die Kündigung ist geschrieben und akzeptiert, der Termin steht fest. Nach 46 Jahren ändert sich ab dem 28.07.2011 meine Anschrift[1]. Wir bleiben zwar in Essen, ziehen aber in unser eigenes Haus. Die neue Adresse werden wir zu gegebener Zeit mit Hilfe der guten alten Post oder per E-Mail bekannt geben.

Ich bin mal gespannt, ob wir vom ersten Tag an Telefon und Internet haben. Zumindest im ersten Jahr werden wir einen Internetzugang sowie Telefon über Kabel nutzen; danach gibt es hoffentlich einen Provider für den Glasfaseranschluß, der schon im Keller liegen soll;-)

[1] es ändert sich natürlich *unsere* Anschrift; aber nur ich wohne seit 46 Jahren dort.

Neue Buchempfehlungen

Endlich komme ich mal dazu zwei Bücher vorzustellen, die ich vor einiger Zeit beendet habe.

Das erste Buch ist Versteckte Botschaften von Klaus Schmeh. Der Untertitel Die faszinierende Geschichte der Steganographie verrät eigentlich schon, worum es geht. Steganographie ist ja die Kunst der unbemerkten Übertragung von Botschaften, wobei im Gegensatz zur Kryptographie die Botschaften eben nicht "unleserlich" gemacht (d.h. verschlüsselt) werden, sondern eben in einer unverfänglichen Botschaft "versteckt" werden. Aus dem Altertum gibt es den Fall einer Übertragung einer Geheimbotschaft, die auf die Kopfhaut des Boten geschrieben wurde. Nachdem die Haare gewachsen waren, wurde der Bote losgeschickt. Zugegebenermassen nicht geeignet für dringende Nachrichten, aber sehr originell...

Da Klaus Schmeh das Feld der versteckten Botschaften sehr weit auslegt, wurde ich durch einige Kapitel doch positiv überrascht. Neben den üblichen Dingen (Geheimtinte, versteckte Botschaften in Bildern, Anfangsbuchstaben von Texten) lernt man auch etwas über Jargonsprachen und den Schutz vor Plagiatoren.

Ich möchte hier gar nicht zu viel verraten; ich belasse bei einer klaren Kaufempfehlung;-) (das Buch setzt keine Vorkenntnisse voraus)

Das zweite Buch spricht eher wieder einen speziellen Leserkreis an: Allahs Missionare (Ein Bericht aus der Schule des Heiligen Krieges) von Willi Germund

In diesem Buch geht es um die Theorie hinter radikalen Islamisten; um die Theoretiker und die Ausbildungsstätten. Der Autor beschreibt die Ursprünge der radikalen Theorien und zeigtauf, wo heute die Hintermänner sitzen (und welche Ziele sie verfolgen). Da viele der "Köpfe" heute in Pakistan leben und lehren, hat dieses Buch aufgrund der aktuellen Ereignisse plötzlich eine größere Wichtigkeit bekommen. Wer sich für die Hintergründe interessiert, sollte sich das Buch mal anschauen. Ich möchte allerdings nicht unerwähnt lassen, dass ich dem Autor nicht in allen Punkten folgen kann (und will) und ich bei ihm eine gewisse Fixiertheit auf bestimmte Dinge erkenne. Aber man muss ja nicht immer nur Sachen lesen, die der eigenen Meinung zu Hundert Prozent entsprechen.

Schreck in der Abendstunde

Vor ein paar Tagen hatte ich das Gefühl, ich sollte mal wieder ein Backup machen. Unter Windows nutze ich dazu ACRONIS und darüber sichere ich die Linux-Partitionen mit.

Meine Home-Partition unter Linux befindet sich auf einem verschlüsselten Laufwerk; d.h. eigentlich also in einer IMG-Datei (DM-Crypt, wenn ich mich richtig erinnere). Ein weiterer, vermutlich nicht ganz unwichtiger Punkt ist seit dem Umstieg auf OpenSUSE 11.4 die Verwendung des Programms BleachBit zum Löschen von Spuren im Browser und im Dateisystem. Soweit also die Vorgeschichte...

Heute dann plötzlich der Schock: beim Öffnen von Thunderbird wird ein Fehler gemeldet; neue Mails können nicht abgespeichert werden. DF -H zeigt zwar noch genug Platz an, aber das Mailprogramm bleibt dabei. Ein flüchtiger Blick in die Mailordner und der Schock ist da: nur noch Mails aus 2009!

Zwischendurch wirft eine Fehlermeldung den Dateinamen mailbox.msf raus. Also starte ich LSOF -r 1 | grep .msf um vielleicht eine fehlende Datei zu finden. Aber auch das bringt keine neuen Erkenntnisse. Eine Überprüfung der Zugriffsrechte zeigt, dass diese korrekt sind.

Dann die erste Entwarnung: ich rufe ein Konto nach dem Anderen auf und stelle fest, dass nur GMX betroffen ist. Nun starte ich tail -f /var/log/messages und dort dann die entscheidende Meldung (Auszug):

[ 9516.667964] dm-0: rw=0, want=13882297160, limit=65534968
[ 9516.667966] EXT3-fs error (device dm-0): ext3_free_branches: Read failure, inode=1573054, block=1735287144
[ 9516.668234] attempt to access beyond end of device

Da ist wohl mächtig was schief gelaufen. Die Inbox-Datei für GMX ist nur noch ca. 15 MB groß. Ich verschiebe nun (als root) den Ordner auf eine andere Partition und erhalte dabei Lesefehler. Nach dem Kopieren ist die Datei nur noch 4 MB groß. Ich kopiere sie wieder zurück und erhalte erst mal wieder den altbekannten Fehler. Nun stelle ich für GMX einen ganz neuen Ordner ein und plötzlich werden wieder Mails runtergeladen. Nachdem ich dann den Pfadverweis wieder auf den Originalordner zurückgestellt habe, funktioniert auch der. Im Moment sieht alles gut aus; auch wenn die Unsicherheit bleibt.

Die Lehren aus der Geschichte:

• Mein Backup-Konzept taugt nichts. In der Sicherung waren nur wenige Dateien und selbst wenn alles dagewesen wäre, hätte ich die Daten nur mit viel Mühe aus der IMG-Datei bekommen.
• Ich hätte gerne die Partition mit dem Home-Verzeichnis repariert (fsck.ext3). Allerdings bekam ich eine Warnung (Überprüfung bei gemountetem Laufwerk wird zum Datenverlust führen) und ich habe keine Ahnung, wie ich das Dateisystem der verschlüsselten Partition im nicht-gemounteten Zustand überprüfe.
• Bestimmte Tools wie BleachBit sollte man vielleicht doch nicht ohne vorherige Sicherung benutzen (obwohl ich nicht nachweisen kann, dass es schuld war)
• Ich muss mich um ein Tool kümmern, mit dem ich aus Linux heraus sichern kann.
• Ich muss mir regelmäßige Datensicherungen angewöhnen.
• Vorher muss ich erst mal analysieren, was ich überhaupt sichern will/muss.
• Und ich muss mein System besser verstehen...

Der Verlust wiegt glücklicherweise nicht ganz so schwer, da der Großteil der wichtigen Mails über ein anderes Konto läuft. Aber ärgerlich ist es trotzdem...

Fehler beim Ändern der DNS Serverkonfiguration

Für Elise

Heute morgen hatte ich das Vergnügen eines Zahnarztbesuches. Im Rahmen der Untersuchung wurden Kiefer und Zähne geröngt; dazu bewegt sich der Apparat einmal um den Kopf herum.

Nun wäre das ja kaum eine Erwähnung wert; aber der Apparat spielte dazu Musik.

Für Elise...

Manche Dinge kann man sich nicht ausdenken.

Exchange und Virenscanner

Gerade (20:30 Uhr) bekam ich einen Anruf von einem Kollegen. Ein Kunde hatte sich angeblich seinen Exchange-Server zerlegt. Ich habe den Kunden dann angerufen und er erzählte mir, dass er aus Platzmangel den Mailbox-Store seines Exchange 2003 Servers verschieben wollte. Das hätte auch soweit für die EDB-Datei geklappt; bei der STM-Datei wäre er aber bei 100% stehen geblieben. Es gäbe weder eine Fehlermeldung noch einen nennenswerten Eintrag im Ereignisprotokoll.

Während ich dann noch einige Parameter abfragte, teilte er mir mit dass im Zielverzeichnis jetzt auch die STM-Datei aufgetaucht wäre. Offensichtlich alles eine Frage der Geduld...

Dummerweise konnte er nun im Quell- und im Zielverzeichnis die Dateien sehen (zumindest meldete sein Outlook wieder eine funktionierende Verbindung).

Einer meiner nächsten Fragen war dann die nach dem Virenscanner. Ja. sie hätten einen Exchange-Virenscanner (ScanMail von TrendMicro). Ich hakte dann direkt nach und fragte ihn, ob auf dem Server auch ein Dateiscanner laufen würde? Und richtig, es lief auch ein TrendMicro OfficeScan. Ich habe ihn dann aufgefordert, diesen doch mal bitte zu beenden und kaum hatte er es getan, wurde der Verschiebevorgang sauber abgeschlossen.

Wie sich herausstellte, hatte er zwar im OfficeScan das Quellverzeichnis ausgeschlossen, aber nicht das Zielverzeichnis...

Categories

• 27c3 (1)
• bücher (12)
• computer (2)
• exchange (13)
• games (2)
• internet (1)
• kinder (1)
• kino + tv + radio (3)
• kino-tv-radio (1)
• linux (3)
• politik (7)
• reisen (1)
• security (2)
• unsortiertes (5)
• webseite (3)
• windows (13)

Archive

• Oktober 2011 (1)
• August 2011 (1)
• Juli 2011 (2)
• Juni 2011 (1)
• Mai 2011 (1)
• April 2011 (3)
• März 2011 (3)
• Februar 2011 (5)
• Januar 2011 (3)
• September 2010 (2)
• August 2010 (6)
• Juni 2010 (6)
• Mai 2010 (2)
• April 2010 (3)
• März 2010 (1)
• Februar 2010 (8)
• Januar 2010 (10)
• Dezember 2009 (6)
• Oktober 2009 (3)

Links

• BlazeBlogger
• RSS Feed
• Impressum

E-Mail

• blog_at_wallutis.de

Copyright © 2011 Thomas Wallutis. Powered by BlazeBlogger.