[Win2003]Verdwijnen van schijfruimte

Volume Shadow Copies?
Hidden files
Kijk eens met een alternatief programma als tree-size-pro. Maar aan de andere kant als je server gehacked is, wil je hem dan niet liever volledig opnieuw installeren dus ook formateren. Ik zou die machine namelijk niet meer vertrouwen.

Gaat niet.
Zolang jij die bak niet down gooit blijf je voor pubstro/zombie spelen, en als je dat inzicht mist verbaast het me ook niet dat je het niet voor elkaar krijgt op de obvious plekken te zoeken waar je met je normale credentials niet bij kunt (SVI folders, andere plekken waar attrib -r -h -s je dingen wel kan laten zien).

Shadow Copy Service kan heel goed het probleem zijn. Bij een klant wel eens meegemaakt dat ze die getracht hadden in te schakelen en later weer uit te zetten. Hierbij was iets corrupt geraakt waardoor dit niet goed gelukt was. De server begon steeds meer diskruimte op te snoepen (dat op magische wijze leek te verdwijnen en niet meer zichtbaar was in Tree-Size of andere tools).

Na wat tweaken deze bestanden kunnen opschonen en de service op de juiste manier gedisabled.

Je kunt eens kijken of je jezelf (TIJDELIJK) rechten kunt geven op de "System Volume Information" map en zien hoe groot die map werkelijk is.

[ Voor 10% gewijzigd door mbaltus op 04-06-2009 16:47 ]

Als het ding gehacked is, zou de verloren ruimte wel eens in alternative data streams opgeslagen kunnen zijn. Die vind je niet zomaar met explorer, DIR (behalve vanaf Vista) en andere commando's. Er is een tool LADS wat een drive kan scannen op dit soort "files".

LADS /s /a geeft een overzicht van alternative streams in de huidige directory plus subdirectories

[ Voor 18% gewijzigd door DigiK-oz op 04-06-2009 17:43 ]

rootkit revealer van SysInternals Microsoft.

Ik ben het met Rolfie eens, ik zou zelf met alle ervaring die ik heb de bak ook formatteren. Je wil met een machine die publiek aan het internet hangt geen enkel risico lopen. Punt uit.

Je kan natuurlijk wel een image van de machine maken/virtualiseren ofzo om er achter te komen wat er precies mis is gegaan en je server voor de toekomst te bewapenen tegen dergelijke indringers. De machine is nu waarschijnlijk al zodanig overgenomen dat vrij weinig acties van jouw kant alle backdoors nog zullen sluiten die aangebracht zijn.

Zeker niet zonde van je tijd om uit te zoeken wat er gebeurd is, en inderdaad extreem leerzaam, maar niet echt een goed plan in een productieomgeving. Ik hoop dat je ons standpunt ook begrijpt Je wil niet het risico lopen dat bezoekers van je websites of watvoor andere diensten dan ook virussen binnenhengelen door jouw websites te bezoeken. Je zadelt dan de samenleving op met jouw probleem.

GoT is alleen niet echt de plaats waar je kunt verwachten dat je bij het handje genomen wordt, en stap voor stap beschrijft wat je moet doen. We denken graag met je mee, en er zijn al een aantal interessante opties geboden, dus ik stel voor dat je zelf alles op een rijtje zet en de in jouw ogen meest maatschappelijk verantwoorde beslissing neemt

[ Voor 18% gewijzigd door sanfranjake op 04-06-2009 23:44 ]

grote_oever schreef op donderdag 04 juni 2009 @ 23:16:
Terecht opgemerkt, maar eigenlijk vraag ik niet om deze feedback.

Dan moet je je vraag niet hier stellen eerlijk gezegd

Daarnaast begrijp je natuurlijk wel dat "wat te doen bij een gehackte server" mij niet met de opvoeding is geleerd.

Maar waarom draai je dan wel een server op een colo? Goes with the territory hoor.
Ook rekening houden met het worst/kaas scenario en wat je dan moet doen hoort bij je verantwoordelijkheden dan.

Naast het feit dat ik graag leer van zulke ervaringen wil ik natuurlijk niet altijd de format oplossing gebruiken. Ik hoop dat je hier rekening mee kunt houden.

Ik hou er ook rekening mee, immers: ik zeg offline halen.
Dat je daarna een image trekt voor forensisch onderzoek en je machine veilig maakt (en dat kan betekenen een herinstallatie) is iets wat je vaak genoeg tegenkomt als je gaat [search=server gehacked wat nu] bijvoorbeeld.

Don't be helpless