[W2k srv] Door Blaster Worm patch geen netwerk meer *

Vandaag de Windows 2000 file server voorzien van de patch ivm de W32.Blast.Worm.
Alleen is het dus niet goed gegaan, ja de patch wel, maar na de reboot is de server qua services niet meer bereikbaar (ftp/ssh) op de externe interface. De externe interface (public IP-range ) is wel te pingen maar een ftp of ssh connect geeft 'service not available'.
Op de interne interface (192.168.x.y IP-range) gaat helemaal niets , normaal draait hier MAC-fileservicing op voor een MacIntosh netwerkje.

Als ik nu een monitor aan de server hang, normaal headless mode, dan hangt t boot screen bij de melding 'Preparing network connections'.

Een boot naar save mode komt niet tot een einde en helaas kom ik mbv de recovery console er niet in want de Admin is zo paranoide dat ik het echte Admin wachtwoord niet heb gekregen. Tot overmaat van ramp is de man ook nog es op vakantie en niet bereikbaar op zijn mobiel (fijn, echt fijn).

Wat zijn mijn opties ?
De interne netwerkaart eruit trekken en dan zien of de server wel wil ?? Vervolgens de NIC weer terug steken en dan hopen ?? Of is er een optie zonder hardware verwijdering ?
Of komen er alleen drastische maatregelen om dit probleem te verhelpen ??

Alvast bedankt voor de moeite

[ Voor 8% gewijzigd door Pantagruel op 14-08-2003 18:30 . Reden: worm met de foute naam ]

Predator schreef op 14 August 2003 @ 18:54:
PNS -> WOS

Kun je wellicht ook de topic titel veranderen ?? Slammer vervangen door W32.Blaster.Worm, dan klopt titel en inhoud. (heb net Koffie gemaild toen de topic nog onder PNS stond)

Thanx

[ Voor 12% gewijzigd door Pantagruel op 14-08-2003 18:58 ]

mutsje schreef op 14 August 2003 @ 18:58:
draaien jullie toevallig norton antivirus? als je alleen op scherm blijft hangen en niet kunt inloggen last known good menu proberen.

Nee, McAfee ver 7 enterprise edition.

Probleem zit hem in de RPC patch (files worden uitgewisseld, want ook als ik 'last good config' neem na F8 blijft hij op exact t zelfde punt steken

F_J_K schreef op 14 August 2003 @ 19:08:

offtopic:
Titel aangepast. Trouwens is het het makkelijkst ons een seintje geven via [afbeelding]: als de titel beter kan hoor ik het zo ook wel

NIC er uit halen (of in je BIOS uitschakelen) is wel een optie ja. Eventueel kan je trouwens het admin password resetten, maar dat lijkt me ruzie opleveren met de sysadmin

Thanx voor de verandering

NIC verwijderen gaf geen verbetering.

Morgen ga ik inderdaad t admin pw resetten. Ik kan wel rechtvaardigen dat ik dat doe. De keuzes zijn machine up en running, of geen servicing voor de afdeling. Kiest u maar

Verwijderd schreef op 15 August 2003 @ 02:08:
Mocht je (op andere wijze) diskacces kunnen krijgen, de patch voor W2K Svr bestaat uit de bestanden Ole32.dll, Rpcrt4.dll en Rpcss.dll in %windir%\system32
Misschien dat je die hardhandig kunt omgooien naar bestandversies van je backups/vertrouwde media om tenminste weer normale OS toegang te hebben (wel ivm de verouderde DLL's de machine uit het netwerk houden totdat tenminste de poorten afgeschermd zijn of de machine succesvol gepatcht is).

Mocht je in de GUI kunnen komen: je kunt de patch uninstallen door:
[...]

Thanx, ik ga dadelijk de server onder handen nemen, eerst een bakkie koffie pakken, naar de server wandelen en dan gaan we es kijken.

Update:

Ik heb de bewuste files vanaf een SP4 machine terug gezet, maar zonder succes. De boel hangt nog steeds bij hetzelfde networking activation' schermpje

[ Voor 14% gewijzigd door Pantagruel op 15-08-2003 11:02 ]

Laatste update:

Helaas pindakaas, de server wordt met een backup gereanimeerd . Niets meer aan te redden. En nu maar hopen dat de patching wel goed gaat (op een andere lokatie is het 50% gelukt/mislukt qua Win2k server, lekker dus )

Inmiddels is de stand van zaken dat de server weer in de lucht is.
(Win2K server herinstallatie en gepatched voor t RPC gat)

Echter de softare RAID-5 array heeft een flinke tik gehad en Win2k weigerd hem te importeren .
R-desktop en EasyRecovery gaan morgen over de resten van het RAID-5 volume heen, zien wat er te redden valt (originele content ca 40 GB aan data van diverse users). Het redden is mbt de data geplaatst op de dag van de patch (zal max 1 GB zijn). Bij de laatse blik die ik op de software heb geworpen zag t er niet echt hoopvol uit. Het gros van de directories hebben een generieke naam met een volgnummer gekregen. Aangezien het hier om meet data van een apparaat gaat is de naam geving vrij uniform en is de kans op dubbel voorkomende namen meer dan reeel .

De hanger bij "activation network connections" was dus waarschijnlijk eerder een hanger omdat de RAID-5 array niet geinitialiseerd kon worden. (verwijderen van beide NIC's stopte de machine op t zelfde punt)

Morgen gaat de kast open en steek ik er een promise controller en een lege harddisk bij om de geredde data op te zetten. Om dit zonder problemen te doen haal ik de server tijdelijk uit netwerk, dit om evt gebruikers acties te voorkomen.

Wat allemaal begon als een simpele patch is verworden tot een milde crisis

@fcska67 : Restoren dus

[ Voor 11% gewijzigd door Pantagruel op 18-08-2003 20:41 ]

BackSlash32 schreef op 18 augustus 2003 @ 20:57:
Al te meer reden om geen software raid te gebruiken als het om mission-critical data gaat.

Wellicht gaat s/w raid inderdaad niet goed samen met de patch, ik had hetzelfde met een test-opstelling in VMware (raid5).

De server was nooit als mission critical bestempeld, maar de gebruikers zijn klaarblijkelijk gewoon lui en slaan hun data niet frequent genoeg op op een permanent medium (voor zover cd's goed blijven).
Nu dus een zeurende gebruikersgroep die mij verwijt dat zij geen backup hebben gemaakt (nog even en je moet ze de broek dichtknopen als ze naar toilet zijn geweest, anders krijg jij de schuld van het feit dat ze er schandalig bij lopen.).

Toen ik voorrekende wat een echte RAID-5 oplossing en een tape-streamer ging kosten,slordige euro 6000 a 7000 bij elkaar, was de sfeer hilarische, dat kon ook wel minder, immers een gebruiker had voor thuis op een pc dump dag een 20 GB tape ding gekocht voor 50 euro. Voor t gemak vergeten ze dat er dan 6 tapes nodig zijn voor iedere HDD in de array en ik toch echt geen discjockey ga spelen. Daarnaast is zo'n IDE tapert de hele nacht bezig met de dag backup, slapen hoef ik klaarblijkelijk ook al niet [als het al lukt met zo'n snelheids monster ].
Het moet dus wel allemaal werken en veilig zijn maar mag niet te veel kosten.

[ Voor 7% gewijzigd door Pantagruel op 19-08-2003 19:37 ]