13. december 2000 - 09:03Der er
20 kommentarer og 1 løsning
*** HJÆLP - AKUT*** - 15 minutter om at åbne et dir...
Jeg sidder med en NT IIS4 som er begyndt med at tage op til 10/15 minutter for at loade et program eller åbne et libr. virus er kontrolleret, mailserver etc. er stoppet, performance er ok, mht. processorkraft er der kun anvendt ca. 15- 20 % - mht. user.dat og system.dat anvendes af serveren og kan ikke kopieres....
Da jeg skal have kopieret flere ting fra regedit/IIS over på anden hdd, vil det på den måde tage flere dage. 1. hvad kan der være galt mht. den lange tid (hdd fejler ikke noget)? 2. hvordan kan jeg overføre data fra regedit f.eks. usermgr., dns, IIS etc. uden at skulle ind i regedit.? Det skal siges, at serveren har kørt i ca. 3/4 år med samme konfiguration uden problemer, men i søndags havde en af vore kunder besøg af hackere som ændrede hans forside mv. og siden har det været galt.
med henhold til at overføre data fra regedit. så kan det ikke lade sig gøre! du skal ind i regedit hvis du vil have noget pillet ud! Har du prøvet at genstarte den? det kan være pga den har et eller andet hængende. Hackeren kan godt have lavet noget ved serveren, men det er ikke sikkert.
Jeg er godt klar over at jeg normalt skal ind i regedit, men jeg håbede at der måske var en anden mulighed. Det er nu 12 minutter siden, at jeg satte en søgning igang (DNS) på hkey_local_machine og den søger stadig...
Der findes programmer som kan læse NTFS, som startes fra en boot-disk. Så kan du kopiere filerne ud, som på W95/98. Jeg husker ikke hvad programmet hed som jeg anvendte, men :
Har du mulighed for at komme til serveren via en anden Windows nt over net ? - hvis ja kan du så åbne disken c$ (eller d$) volumen ? - tager det lige så lang tid at åbne en fil andre steder fra ?.
Hvis jeg sætter den pågældende disk som slave med en anden master-hdd med NT styresystem, så er der ingen problemer med den oprindelige disk - den kører perfekt, men når jeg sætter den tilbage som master så går det galt igen.....
jeg har prøvet både chkdsk + chkdsk /f - men nu har vi fået lokaliseret hvad der er galt - det er lsass.exe som hackerne har sørget for bruger al den CPU-time som er ledig efter services etc. er brugt - nu skal vi så bare have fundet ud af hvad jeg skal gøre for at stoppe det som de har efterladt sig......;(
er du sikker på at det ikke er en fejl i et eller andet program, og at det er det der gør det! men ellers gå ind i regedit, HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windowsnt\\CurrentVersion\\Run eller Runservices der kan du sikkert finde den! mener stien hedder det! men ellers er det noget lignende!
det kan også være at det er en service der kører. Gå ind i kontrol panelet og vælg services, derfra kan du så slå services fra hvis det er der den er galt!
Både og, så vidt indtil nu, så regner vi med, at hvis vi i første omgang slår RPC fra i services, skulle vi kunne arbejde på serveren og få de nødvendige data ud og så må vi få strippet maskinen for hvad vi kan se ikke skal køre og derved håbe at vi får ram på det som hackerne har efterladt sig.
Well.. jeg tjekkede lige på min Win2k maskine (der er jo den smarte dependencies funktion)... Provides the endpoint mapper and other miscellaneous RPC services. Hvis jeg kunne stoppe den, ja... så ville min computer sgu gå ned, that\'s for sure. Der er 17 andre services der er afhængig af RPC.
Hej igen Vi gav op - efter at 25 af vore kunder fik besøg af Hackere (se bl.a. EB/side 47 fra i fredags) og hvor de efterlod vores server i en ubrugelig stand satte vi en ny Windows NT 5.0 op istedet og så håber vi, at den er lidt mere sikker den den \"gamle\" var - vi har da lov at håbe ;) Tak for rådene, det var ikke din/jeres skyld at vi ikke kunne gøre brug af dem.
Med venlig hilsen DK Web Online
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
