Event ID 13559 ERROR

Ahir tenia un parell de controladors de domini que no replicaven correctament.

Després de mirar amb el FRSDiag, vaig veure que hi havia molts errors al visor d’events com aquest:

Event ID: 13559
Event Type: Error
Rule: Alert suppressed based on ID, source, computer
Message Text:

The File Replication Service has detected that the replica root path has changed from “%2″ to “%3″. If this is an intentional move then a file with the name NTFRS_CMD_FILE_MOVE_ROOT needs to be created under the new root path. This was detected for the following replica set: “%1″ Changing the replica root path is a two step process which is triggered by the creation of the NTFRS_CMD_FILE_MOVE_ROOT file.
[1] At the first poll which will occur in %4 minutes this computer will be deleted from the replica set.
[2] At the poll following the deletion this computer will be re-added to the replica set with the new root path. This re-addition will trigger a full tree sync for the replica set. At the end of the sync all the files will be at the new location. The files may or may not be deleted from the old location depending on whether they are needed or not.

Tot i que em semblava una mica increible, vaig anar la ruta %2 (que era igual que la %3), i vaig crear un arxiu en blanc anomenat NTFRS_CMD_FILE_MOVE_ROOT, sense extensió.

Doncs avui he trobat que ha posat tots els arxius en una carpeta anomenada NTFRS_PreExisting, i ha deixat la carpeta en blanc. Ara només ha calgut copiar els arxius de dins del PreExisting a la ubicació original, i ja replica. No ha calgut tocar res més.

En quant a les causes, pot ser que es mogués d’una arrel DFS a una altra i no li donés temps a replicar, o que es qeudés sense espai, o que fallés la replicació degut a l’antivirus, etc.

El cuc Conficker i el WSUS

Suposo que recentment haureu sentit parlar d’un cuc que s’està escampant per Internet anomenat Conficker.

Aquest cuc crida l’atenció perquè a part de fer anar lent el PC, a part de instal·lar-se en els PCs perquè algú des de fora els pugui utilitzar per SPAM, robar informació privada, etc, és un dels cucs que més mesures pren per tal de que sigui detectat o eliminat.

Fins ara, quan entrava un virus o cuc al PC, amb algunes eines més o menys rudimentàries podies aturar-lo, i després eliminar-lo. Com a mínim, detectar-lo.

Entre aquestes eines, trobavem el Autoruns, on es mostra el fabricant de l’executable (els virus mai tenen res al camp de fabricant).

O bé mirar la data i la hora de la creació d’un arxiu. Els cucs sempre tenien la data d’avui.

També podiem veure-ho amb el Process Explorer, veient una tasca que tampoc tenia fabricant …

O igualment el Process Monitor, on apareixia una tasca que continuament monitoritzava unes claus de registre o uns arxius per veure si existien, i així sabien si el virus estava actiu o no.

I en quant la seva detecció en les xarxes, tenim eines que detecten el rastreig a través de la xarxa, ja sigui mitjançant el increment de trànsit, la recerca secuencial de ports, etc.

Però ara ha aparescut el Conficker. No és que incorpori tàctiques noves, perquè moltes de les seves accions ja estaven “inventades”, sinó que les agrupa totes, creant una eina de malware molt perillosa i interessant.

Hi ha un informe molt bo a Symantec de més de 30 pàgines que parla de tot això que us estic comentat. És diu Downadup Codex i el podeu trobar a:

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the_downadup_codex_ed1.pdf

I si no voleu llegir-vos el informe, aquí us poso algunes de les característiques més interessants del cuc que realment fan esgarrifar:

• És un cuc que afecta als PCs i servidors amb qualsevol variant moderna de Windows (2000, XP, 2003, 2008 i vista)
• Aquesta vulnerabilitat va ser detectada al Octubre de 2008 per Microsoft.
• A l’infectar un PC, comença a buscar tots els PCs de la xarxa amb els protocols de Windows
• Al conectar-se, mira d’entrar per les carpetes compartides més comuns, incloses les administratives (ADMIN$, C$, etc).
• Com aconsegueix l’usuari, prova de validar-se amb una llista de 250 passwords, que inclouen el admin, el password, el 123456, el usuari al revés, etc.
• Es un executable signat i encriptat per una clau que només la tenen els seus desenvolupadors. El codi maliciós que s’executarà (payload) també està encriptat, i no podem saber què farà.
• S’executa com un servei de Windows, arrencat pel svchost. És a dir, no podem aturar-lo, perquè s’executa com un procés del sistema.
• Va canviant de nom a cada infecció.
• Intenta reinfectar els PCs infectats, per si algú elimina la infecció.
• Recorda els últims 100 PCs infectats, per no repetir-se i delatar-se.
• Quan busca a la xarxa, fa pauses de 100milisegons, per no saturar la xarxa i que sigui detectat. També fa salts en les IPs.
• El seu payload es descarrega d’Internet. Ho descarrega d’una llista aleatoria interna de 50.000 dominis d’Internet. (abans eren 250, però com es va descubrir, es van tancar tots els sites). El creador només cal que registri un d’aquests dominis, posi el codi a la ubicació on es solicitarà pel PC infectat, i podrà executar en TOTS els Pcs infectats el codi que vulgui, sense CAP limitació.
• Passa routers i firewalls que tinguin activat el protocol uPNP. Generalment els dispositius de casa ho tenen activat. És capaç de venir des d’Internet i infectar el PC de casa, encara que aquest no tingui cap port obert.
• La versió més recent fa servir un protocol P2P per distribuïr el payload. Cada PC infectat s’utilitza per distribuïr el codi malicios, a la vegada que el rep dels seus companys de xarxa.
• Quan no pot distribuïr-se mitjançant la xarxa, es guarda a les claus USB, a la funció autoplay. Aquesta funció és la que fa que un CD o un clauer USB arrenqui sol només insertar-lo. Aixì, un usuari que a casa tingui infectat el PC, al portar-lo a la feina, infecta tota la xarxa de la feina.
• De la mateixa manera, només connectant-nos al un Wifi públic o “robat”, ens exposem a la infecció.
• Quan apareix la opció de Autoplay, ens mostra “Open Folder to view files”, i fins i tot ens mostra la icona d’una carpeta de l’explorador de Windows. Però realment al fer click, estarem executant el cuc.
• Si algú mira el arxiu autorun.inf, on s’amaga el autorun, aquest mostra tot de caràcters estranys, i la gent que no ho té molt per la mà pensarà que és un arxiu executable “normal”, sense aixecar sospites.
• L’arxiu que executa es guarda a la paperera, i aquest arxiu té qualsevol extensió, excepte la .DLL.
• Mitjançant una crida al sistema, està pendent de la connexió d’algun nou aparell o unitat de xarxa. I quan ho fem, ho infecta.
• Està escoltant la llista de processos, i mata qualsevol procés d’una llista que inclou les principals eines de troubleshooting de sistemes (les de sysinternals), sniffers, antivirus, referencies als articles de Microsoft que expliquen això, o bé la posibilitat d’instal·lar el pedaç que ho soluciona.
• També atura el servei de System Recovery de Windows XP, i borra totes les copies anteriors del sistema.
• Impedeix la connexió als principals fabricants d’antivirus, i també d’altres pàgines que podrien usar-se per eliminar-ho.

Esgarrifós, no?

Mètodes de prevenció:

Només hi ha un. Posar sempre les actualitzacions del Windows Update. Ja sabem que fa pal, que quan surt el missatge de reiniciar ens fa ràbia, que fins i tot alguna vegada la pifien, però realment és pitjor no posar-les.

Fins ara, quan apareixia una vulnerabilitat de Microsoft o de qualsevol altre fabricant, que tots en tenen, trigaven uns mesos a treure algun exploit que aprofitava aquesta vulnerabilitat per interessos propis.

El cas del Conficker va ser al contrari. Després de apareixer el cuc, es va detectar la vulnerabilitat, quan ja tenim mils de màquines infectades.

Com podem saber si estem infectats? Fàcil. No podreu anar ni a www.microsoft.com, ni a www.symantec.com, ni tant sols obrir aquesta pàgina. Té moltes pàgines i processos limitats segons el seu contigut o adreça IP.

El que podeu fer en cas de problemes, es executar una comanda simple:

net stop dnscache

Aleshores el cuc ja no controla les pàgines que estem mirant. Només caldria anar a una web d’antivírics i baixar-se l’eina per eliminar-lo.

Aprofito aquest article per donar unes recomanacions que caldria aplicar a totes les xarxes, siguin petites o grans:

• Instal·lar el WSUS de Microsoft perquè instal·li de manera forçada les actualitzacions crítiques i de seguretat a tots els PCs de la xarxa. Per qui noho conegui, el WSUS és un programari gratuït de Microsoft que centralitza en una consola la gestió de les actualitzacions dels PCs i servidors d’una xarxa, sempre controlada per l’administrador, tant la freqüència de les actualitzacions, les que estan autoritzades, i la obligatorietat de les mateixes envers l’usuari.
• Revisar periòdicament els servidors per posar els últims pedaços (1 cop a mes)
• Configurar de manera automàtica els servidors que estan DIRECTAMENT connectats a Internet (ISA Server, passarel·les en general)
• Configurar una DMZ i posar els servidors amb serveis a Internet aquí. Una DMZ és una xarxa externa situada en el perímetre on trobem servidors que no contenen dades que només fan de passarel·la per als serveis interns. Ho podem veure aquí: http://ssinyol.wordpress.com/2008/02/26/conceptes-basics/
• No tenir MAI cap servidor que contingui dades o dóni servei intern obert directament contra Internet. Això inclou els servidors Terminal Server, o bé qualsevol servidor de correu o Extranet. Si volem donar aquests serveis, cal posar un servidor passarel·la a la DMZ.
• Si el PC està a casa, fer obligatoria la instal·lació del Windows Update.
• Si no podem actualitzar el PC perquè el Windows és pirata, és millor comprar un Windows, o posar un linux. Tot i que no pot semblar important, el fet de que ens robin les dades d’accés al banc o els comptes de correu electrònic pot acabar per ser crític.
• Vigilar amb el Autorun dels clauers USB. Desactivar-lo si cal.

Microsoft Exchange Server Error Code Look-up

Hi ha una aplicació de Microsoft que té llistats tots els codis d’error que poden apareixer als sistemes operatius Windows.

També s’han afegit els errors d’Exchange.

Microsoft Exchange Server Error Code Look-up

Instal·lació MOSS en Català (Microsoft Office Sharepoint Server 2007)

Si volem instal·lar el servidor MOSS en Català, cal fer uns quants passos, ja que no es trivial.

Aquí els relaciono per a una instal·lació de SINGLE Server (la del Action Pack, per exemple):

Requeriments:

• Windows 2003 R2 SP2 Spanish
• SQL Server 2005 SP2 Spanish
• Sharepoint Server 2007 Spanish

I a més, cal baixar: (no poso els links perquè només cal buscar-ho al google i apareix)

• Sharepoint Services 3.0 SP1 Spanish
• Sharepoint Server 2007 SP1 Spanish
• Sharepoint Services 3.0 SP1 Language Pack Català
• Sharepoint Server 2007 Language Pack Català

L’ordre d’instal·lació és:

1. Windows 2003 R2
2. SP2 Windows 2003
3. SQL Server 2005
4. SP2 SQL Server
5. Microsoft Update complet
6. Sharepoint Server 2007 (no executar el “Asistente para tecnologias …” fins al final)
7. Sharepoint Services 3.0 SP1
8. Sharepoint Server 2007 SP1
9. Sharepoint Services 3.0 SP1 Language Pack Català
10. Sharepoint Server 2007 SP1 Language Pack Català (fa pocs dies que ha sortit)
11. Executar ara ja si el “asistente para tecnologias …”
12. Revisar la “Colección de Sitios”: Si no està en català (el més probable), cal borrar la colección de Sitios, i tornar a crear-la especificant com a llenguatge el Català. Cal posar un “Sitio de Colaboración”

Ara hauria d’estar funcionant.

Comandes bàsiques de Windows 2008 Server Core

El que posaré aquí són les comandes bàsiques a l’hora de configurar una instal·lació de Server Core. Està clar que la millor manera de configurar-ho es remotament amb l’interfaç gràfic, però primer cal posar la IP, el nom de la màquina i altres configuracions mínimes.

Canvi de IP

1. Saber el ID del interface

netsh interface ipv4 show interfaces

2. Un cop tenim la ID de la interfaç, posem el següent:

netsh interface ipv4 set address name=”<ID>” source=static address=<IP> mask=<Màscara> gateway=<Porta d’enllaç>

3. Posem el DNS

netsh interface ipv4 add dnsserver name=”<ID>” address=<DNS> index=1

Password

La primera pantalla ens demana un password. Posem “Administrador” i deixem la contrasenya en blanc. Aleshores ens mostra la opció de canviar la contrasenya.

Si tot i això la volem tornar a canviar, podem posar la comanda:

net user administrator *

Canvi de nom

Podem veure el nom del equip amb el ipconfig /all de tota la vida. Si volem canviar-lo, aleshores cal posar:

netdom renamecomputer <Nom-del-PC> /NewName:<Nou-Nom-del-PC>

Reiniciar el PC

shutdown /r /t 0

Conectar-se a un domini

netdom join <Nom-de-màquina> /domain:<Domini> /userd:<nom-d’usuari> /password:*

Gestió Remota

Posem:

WinRM quickconfig

Al servidor Server Core. Aleshores posem posar a una altra màquina 2008:

winrs -r:<Nom-de-màquina> cmd

Els omnipresents MSDE 2005 i SQL Express 2005

Últimament s’ha posat de moda en les aplicacions més comunes (antivirus, software de backup, consoles de gestió, etc) utilitzar una d’aquestes bases de dades de Microsoft gratuites.

A la pràctica ens trobem amb màquines que pensem que tenen poca càrrega i realment estan executant 3 o més instàncies de SQL Server.

Un exemple típic seria una màquina amb:

* Consola antivirus de McAfee

* Software de Backup de Symantec

* WSUS

* VMWARE Virtual Center amb Updates

* Sistema de gestió d’alarmes SNMP

Podria ser fàcilment que en aquesta màquina trobèssim 5 servidors SQL arrencats a la vegada, menjant-se literalment la memoria de la màquina, i augmentant la paginació a disc, el que fa que el sistema es torni lent.

Per tal d’evitar això, podem fer dues coses, la bona, i la apanyada.

La bona seria tenir un SQL Server WorkGroup o Standard llicenciat i posar aquestes bases de dades en el mateix servidor gestor de bases de dades.

L’altra, la solució de compromís, es veure si no sobrepassarem els límits del MSDE (2 Gb) o del SQL Express (Penso que son 4Gb) i posar-ho tot a la mateixa instància.

Per fer això necessitem que el SQL Express o MSDE pugui acceptar connexions via TCP/IP. Cal que anem al “SQL Configuration Manager” i afegim el TCP/IP com a protocol. També podem posar el Named Pipes, per si de cas l’aplicatiu el fa servir. Un cop fet això, només cal posar amb el Surface configuration tool que el administrador de la instància sigui un usuari de Windows que tingui privilègis i ja esta.

A partir d’ara cal anar en compte, i quan ens pregunti si s’ha de crear la BBDD busquem la opció (petita normalment) de utilitzar una instància. Aleshores li posem el nom del servidor\instancia, i validem amb el usuari que haguem usat amb el Surface analisis.

Ara podem tenir tots aquests serveis corrent únicament sobre una instància, sense malgastar la memoria del servidor.

An I/O operation initiated by the Registry failed unrecoverably: error 333

Aquest error tant lleig apareix en alguns servidors Windows 2003 amb el SP1 o el SP2, i tenint instal·lats els serveis de RIS (Remote Installation Service).

El error és aquest:

Event Type: Error
Event Source: Application Popup
Event Category: None
Event ID: 333
Date: date
Time: time
User: N/A
Computer: computer name
Description: An I/O operation initiated by the Registry failed unrecoverably. The Registry could not read in, or write out, or flush, one of the files that contain the system’s image of the Registry.

Event Type: Error
Event Source: Application Popup
Event Category: Srv
Event ID: 2019
Date: date
Time: time
User: N/A
Computer: computer name
Description: The server was unable to allocate from the system nonpaged pool because the pool was empty.

Es degut a un memory leak (un problema de alliberament de memoria) del driver sis.sys.

Cal aplicar el hotfix que trobem aqui:

A nonpaged pool memory leak may occur on a Windows Server 2003-based computer when the Single Instance Storage driver (Sis.sys) processes an alternative stream

NOTA: també he trobat articles que es refereixen a altres causes, per exemple en un driver de les printers HP Laserjet:

System hangs or crashes on a Windows Server 2003 based computer that has HP LaserJet Printers installed

Com crear una imatge amb Boot CD de Windows PE per un HP DL360 G5

Hem instal·lat un server amb tots els programes, pedaços, etc, i volem fer una imatge, per poder tornar enrera, per deplegar-la en un altre servidor, etc.

Podem usar alguna de les eines de tota la vida: Ghost, Acronis, etc, o bé podem fer servir el magnific entorn de Windows PE.

Què és el Windows PE? És el substitut dels discs d’arrencada de MS-DOS que tants i tants problemes ens han portat.

Per fer un disc d’arrencada de Windows PE necessitem diverses coses (totes gratuïtes):

- Windows Automated Installation Kit (AIK)

- Drivers de Xarxa del servidor

- Drivers de l’storage del servidor (si volem accedir a la SAN, també podem posar drivers de la tarja FC, però no crec que sigui una bona opció)

 

Aleshores instal·lem el WAIK. Un cop instal·lat, utilitzem la comanda copype.cmd per desplegar la instalació del Windows PE.

PAS 1)

copype x86 c:\winpe_x86

(també pot ser amd64 o ia64, segons l’arquitectura que tinguem).

Això ens crea en la carpeta c:\winpe_x86 una estructura d’arbre com aquesta:

c:\winpe_x86

c:\winpe_x86\mount

c:\winpe_x86\ISO

A dins de la carpeta, trobem els arxius necessaris per crear una ISO amb els drivers estandard i l’idioma anglés.

PAS 2)

Necessitem tenir el imagex dins de les eines del CD, per tant cal que el copiem de C:\archivos de programa\Windows AIK\Tools\<arquitectura>\imagex.exe, i el posem a c:\winpe_x86\ISO.

També necessitarem copiar la carpeta \servicing de C:\archivos de programa\Windows AIK\Tools\Servicing dins de c:\winpe_x86\ISO\Servicing.

I per últim, dues DLL de C:\windows\system32\msxml6.dll i msxml6r.dll, també a c:\winpe_x86\ISO\Servicing.

PAS 3)

Creem un arxiu que ens exclogui del imageX els arxius tipus tmp, el pagefile, etc. Aquest arxiu s’ha de dir  Wimscript.ini, i ha d’estar a c:\winpe_x86\ISO. Ho podem fer amb el notepad. El seu contingut seria aquest:

 
[ExclusionList]
ntfs.log
hiberfil.sys
pagefile.sys
“System Volume Information”
RECYCLER
Windows\CSC

[CompressionExclusionList]
*.mp3
*.zip
*.cab
\WINDOWS\inf\*.pnf
 

PAS 4)

Per instal·lar els drivers, només cal baixar-los i descomprimir-los en una carpeta. Després muntar la winpe.wim que ens ha generat la comanda anterior:

1) MUNTAR IMATGE: imagex /mountrw c:\winpe_x86\winpe.wim l c:\winpe_x86\mount

2) CARREGAR DRIVER: peimg /inf=<nom_del_inf> c:\winpe_x86\mount\windows

3) PREPARAR IMATGE: peimg /prep c:\winpe_x86\mount\windows

4) DESMUNTAR IMATGE: imagex /unmount /commit

5) COPIAR .WIM: Ara ja hem generat un nou arxiu .WIM. Només cal tornar a generar la ISO, amb el PAS 5)

 

PAS 5)

Crear la ISO:

oscdimg -n -bc:\winpe_x86\etfsboot.com c:\winpe_x86\ISO c:\winpe_x86\winpe_x86.iso

Després d’uns minuts, ja tenim un CD llest per arrencar el servidor. En arrencar, ens apareix una línia de comandes. Aleshores només cal veure a quina unitat ha muntat el CD, i executar el IMAGEX amb els paràmetres adeqüats:

Aquí tenim una seqüència típica:

- diskpart / list volume –> Aqui veiem on està el CDROM

- Canviem al unitat D: (o on estigui el CDROM)

- Podem usar com a unitat destí una unitat física, un USB o bé una unitat de xarxa, fent un “net use * \\servidor\carpeta /user:domini\usuari <password>”

 imagex /capture c: e:\imatge.wim “imatge del sistema”. Aqui hem posat e:, que seria la unitat destí.

Adjunto uns links de aquest procés:

ImageX Command-Line Options

Add a Device Driver to an Offline Windows PE Image

Crear enllaços simbòlics a Windows amb NTFS (Symbolic Link)

Des de Windows 2000 es poden crear enllaços simbòlics a objectes de NTFS. Aquests enllaços es comporten com els symbolic links de tota la vida a Unix (els creats amb el ln)

L’únic problema és que Microsoft no proporciona de sèrie les comandes per crear-los. Però per sort tenim diverses alternatives.

Kit de recursos de Windows 2000: linkd / delrp

CD de Windows: mountvol

Podem veure com s’utilitzen aquestes comandes aquí:

Cómo crear y manipular puntos de unión de NTFS

I després tenim la comanda del arxi-conegut Marc Russinovich, Junction 1.05

Ho podem trobar (al technet) en aquesta adreça:

http://technet.microsoft.com/en-us/sysinternals/bb896768.aspx

Articles de Storage de Microsoft

En aquesta web podem revisar tot d’articles de Microsoft sobre el tema de l’emmagatzemament.

Storage KB Articles 

 A destacar el que fa referencia al RAID-5, RAID 0+1:

Planning the Layout and RAID Level of Volumes

(mai posar RAID-5!!!, penalitza molt l’escriptura!)

i els de cluster:

How to extend the partition of a cluster shared disk, que explica com fer-ho amb el DISKPART.