Nach einem „Super-GAU“ (Trojaner-Befall, Ransomware, Computer-Virus …) auf dem Server gibt es ab sofort eine einfache Möglichkeit, die Arbeitsfähigkeit umgehend wieder herzustellen und die Ausfallzeit auf ein absolutes Minimum zu beschränken. Nachfolgend wird beschrieben, wie im Ernstfall vorzugehen ist.
A) Problem Verifizieren
Ein Trojaner-Befall – insbesondere Verschlüsselungs-Trojaner – ist daran zu erkennen, dass sich viele vertraute Programme plötzlich nicht mehr öffnen lassen, die Symbole auf dem Desktop plötzlich anders aussehen, der Server extrem langsam auf Befehle reagiert …
In der Regel zeigt sich nach Aufruf des Taskmanagers eine sehr hohe Prozessor-Auslastung bzw. ein besonders „beschäftigter“ Prozess.
B) Erste Maßnahmen
Als Sofort-Maßnahmen sind zu ergreifen:
- Prozess über den Taskmanager beenden
- Server umgehend herunterfahren (notfalls über den Power-Button ausschalten)
- alle weiteren Computer, die zu diesem Zeitpunkt noch in Betrieb sind ebenfalls herunterfahren und vom Netzwerk trennen
C) Server für Neustart vorbereiten
Die beiden Festplatten des Laufwerks C (links die oberen beiden) aus den Festplatten-Einschüben am Server entfernen und gesondert lagern – dazu eine Notiz, dass die Festplatten mit einem Trojaner / Virus infiziert sind. (Ansonsten besteht die Gefahr, dass die Schadsoftware wieder reaktiviert werden kann. Erst nach einer Neuformatierung können diese Festplatten wieder verwendet werden.)
Eine Sicherungsplatte des Laufwerks C in den oberen Laufwerkschacht einschieben. In den zweiten Laufwerkschacht ist eine leere Ersatz-Festplatte einzuschieben.
D) Server Neustart
Nach diesen vorbereitenden Tätigkeiten ist der Server neu zu starten. Hierzu muss nur der Power-Button gedrückt werden.
Im Boot-Menü wird der Start von Windows Server 2008 (untere Option) angeboten. Dieses Windows ist zu wählen und zu starten.
Der Server wird im Anschluss wie gewohnt hochfahren und wäre dann bereits wieder arbeitsfähig. Da jedoch auch viele Daten von der Schadsoftware betroffen sein dürften (Änderungen, Verschlüsselungen, potentielle Backdoor-Programme …) sind vor einer Freigabe zur Arbeit weitere Schritte erforderlich.
E) Wiederherstellung der Daten
Die Daten werden auf Laufwerk X vorgehalten. Im Explorer kann geprüft werden, ob und inwieweit die Daten des Laufwerks X bereits durch die Schadsoftware unbrauchbar gemacht wurden. Besonders wichtig wäre die Überprüfung des Ordners x:\budoshop, da hier die Arbeitsdaten unserer Datenbanken liegen. Wenn die Dateien in x:\budoshop unverändert geblieben sind, sollte x:\budoshop auf eine externe Platte gesichert werden. Zugleich bedeutet dies, dass ab diesem Zeitpunkt wieder mit Approach gearbeitet werden kann.
Sollten in x:\budoshop bereits Daten verändert sein (auch einzelne Dateien) kann es sinnvoll sein, diese einzelnen Dateien aus einer Datensicherung zu überschreiben.
Zu beachten ist jedoch, dass beispielsweise veränderte Kunden-Daten (kunden.dbf) und eine unveränderte bestellung.dbf / rechnung.dbf / orderhistory.dbf immer zu Folge-Problemen führen dürften, weil bereits vergebene Kundennummern fehlen und bei einer erneuten Übernahme der Kunden u.U. neue / andere Kundennummern vergeben werden könnten, so dass die neu vergebenen Kundennummern nicht unbedingt mit den bereits zugeordneten alten Kundennummern in bestellung.dbf, rechnung.dbf und orderhistory.dbf übereinstimmen müssen.
Dieses Vorgehen erfordert daher ein Maximum an Vorsicht und Überlegung. Es sollte nur dann zur Anwendung kommen, wenn man sich absolut sicher ist und evtl. Probleme (falsch zugeordnete Kunden und Bestellungen) beherrschbar sind.
Als radikale (aber einfachere) Lösung bietet es sich an, das Laufwerk X neu zu formatieren. Hierzu wird im Explorer „Dieser PC“ angeklickt. Dann das Laufwerk X markiert und mit einem Rechtsklick kann „Formatieren“ aufgerufen werden.
Windows aktiviert standardmäßig die „Schnellformatierung“, bei der das Dateisystem neu angelegt wird. Wird der Haken entfernt, erfolgt eine aufwendigere Formatierung. Zudem wird die Partition bei einer Normalformatierung mit Nullen überschrieben, wodurch eine Wiederherstellung von Daten zusätzlich erschwert wird. Im Ergebnis benötigt die Normalformatierung vergleichsweise viel Zeit.
Nach der Neuformatierung von Laufwerk X können die Daten aus einer Datensicherung zurück kopiert werden. Hierzu sollte immer die aktuellste Sicherung genutzt werden.
Neben einer vollständigen Sicherung des Laufwerks X (Sicherung Lw X Ersatz) gibt es die Tages-Sicherungen, die aber nur die wichtigsten Verzeichnisse berücksichtigen. Deshalb empfiehlt sich folgende Vorgehensweise:
aa) Kopieren der letzten Tagessicherung auf Laufwerk X
Damit könnte sofort wieder gearbeitet werden. Es fehlen aber eine Reihe weiterer Daten, die erst durch das Kopieren der zusätzlichen Komplett-Sicherung (dabei nicht die bereits auf X:\ überspielten Daten überschreiben!) nutzbar sind.
bb) Kopieren der Komplett-Sicherung des Laufwerks X und Kopieren der letzten Tages-Sicherung
Dadurch vergeht mehr Zeit bis zur Wiederherstellung der Arbeitsfähigkeit, aber es muss keine Sorgfalt darauf verwendet werden, nicht versehentlich aktuellere Daten (Tages-Sicherung) mit älteren Daten (Komplett-Sicherung) zu überschreiben.
Variante aa) und bb) unterscheiden sich in erster Linie in Bezug auf die Zeit, die bis zur Wiederherstellung der grundsätzlichen Arbeitsfähigkeit besteht.
aa) = schnell mehr Sorgfalt erforderlich – Datenverlust
bb) = langsamer aber unkomplizierter – Datenverlust
F) Datenverlust
Zu beachten ist, dass ein Datenverlust in der Regel immer eintritt, wenn Daten aus einer Datensicherung zurückgespielt werden müssen.
Persönlicher Windows-Desktop: Seit der letzten Windows-Sicherung (Stand der Sicherungs-Festplatte) vorgenommene Änderungen sind verloren
Da es sich in der Regel nur um Desktop-Verknüpfungen handelt, sollten sich diese relativ schnell wieder anlegen lassen. Größere Beeinträchtigungen sind nicht zu erwarten.
DPD-Print. Die Nutzung einer Windows-Sicherung führt unweigerlich dazu, dass DPD-Paketschein-Nummern doppelt vergeben werden würden, da seit der Sicherung bereits weitere Paketscheine mit dem letzten Paket-Nummern-Stand generiert worden sind. Vor der Weiternutzung von DPD Print muss bei DPD (ggf. direkt über Herrn Fischer) daher eine neue KNF-Datei zur Konfiguration angefordert werden, die einzulesen ist. Erst danach kann wieder über DPD versendet werden. Eine Alternative wäre DPD Web-Services https://www.dpd.com/de/de/support/it-anbindung-und-dpd-schnittstellen/ (analog zu DHL), was aber eine umfangreiche Umprogrammierung erforderlich machen würde.
Outlook. Die noch im Postausgang von WTSAdmin liegenden E-Mails sind verloren. Es dürfte überwiegend schwierig sein, wichtige E-Mails nachzuerstellen. Da aber die wichtigen Bestellinfo-E-Mails eine Wiedervorlage-Funktion haben, werden die Kunden auf jeden Fall erneut kontaktiert.
Approach-Datenbanken / Laufwerk X. Der unvermeidbare Datenverlust beschränkt sich auf die seit der letzten Datensicherung veränderten Daten.
In Bezug auf die Daten in x:\budoshop dürften nur die Daten des letzten Arbeitstags vor dem Ereignis betroffen sein. Es ist insoweit zu prüfen, welchen Stand die Daten in der a_order.apr / a_kunden.apr haben. Um die Daten auf den aktuellen Stand zu bringen, muss die Bestellbearbeitung des letzten Werktags vor dem Ereignis (ggf. auch weitere Bestellbearbeitungen) aus den Sicherungs-Dateien X:\export-import\bestellungen\Sicherung_Bestellimport wiederholt werden. Wichtig dabei ist aber, dass die Bestellungen nicht erneut an die Lieferanten geschickt werden. Mit Hilfe der versendeten Bestell-E-Mails an die Lieferanten lässt sich die wiederholte Bestellbearbeitung zur Sicherstellung der Daten-Parität überprüfen.
Erst nachdem die Daten dem Stand nach der Bestellbearbeitung am Ereignis-Tag entsprechen, kann die nächste Bestellbearbeitung durchgeführt werden.
Stornierungen / Gutschriften sowie Wareneingänge und Rechnungslegung sowie Zahlungseingänge vom Ereignistag sind erneut nachzuholen. Im Anschluss kann wie gewohnt weitergearbeitet werden.
ProLiant DL380 G7