Exchange Netvault/Netapp: Failed backup leftover Snapshots

  • Dell Netvault Backup Agent 9.2.0.17
  • SME for Exchange 6.1
  • Netapp Snapdrive 7.0.2.6322

You have LEFTOVER SYMBOL Link on all drives or OLD NVBUShadowcopy Directory on LUNS you handle with Netvault Backup.

Solution 1a)

Stuck left over drives from failed backup in Netapp Plugin:

Solution 1b)

In cmd.exe

Diskshadow

List shadows all

Search for corresponding leftover folder like "E:\NvbuShadowCopy_2052"

Get the SHADOW COPY ID of the stuck one

* Shadow copy ID = {e08f4105-1d42-4d53-afdd-838247c03529}

<No Alias>

- Shadow copy set: {e9f98574-49b1-4df1-bcb9-67d5c485764a}

<No Alias>

- Original count of shadow copies = 4

- Original volume name: \\?\Volume{b304d909-0cc1-11e4-b5ec-00505

68121c3}\ [E:\]

- Creation time: 30.11.2015 12:34:36

- Shadow copy device name: \\?\GLOBALROOT\Device\HarddiskVolumeS

hadowCopy1

- Originating machine: server12.customer.ch

- Service machine: server12.customer.ch

- Exposed locally as: E:\NvbuShadowCopy_2052\

- Provider ID: {b5946137-7b9f-4925-af80-51abd60b20d5}

- Attributes: No_Auto_Release Persistent Differential

 

Delete it:

Delete shadows id {e08f4105-1d42-4d53-afdd-838247c03529}

 

https://support.software.dell.com/netvault-backup/kb/92760

Exchange 2010, 2008R2, Event 106 MSExchange Common

Problem: Exchange 2010, 2008R2, Event 106 MSExchange Common

Solution: Reload the correct performance counter file in Powershell

Event 106, MSExchange Common

Performance counter updating error. Counter name is Base for Average Number of Mailboxes Processed per Request, category name is MSExchange Availability Service. Optional code: 1. Exception: The exception thrown is : System.InvalidOperationException: The requested Performance Counter is not a custom counter, it has to be initialized as ReadOnly.

at System.Diagnostics.PerformanceCounter.Initialize()

at System.Diagnostics.PerformanceCounter.IncrementBy(Int64 value)

at Microsoft.Exchange.Diagnostics.ExPerformanceCounter.IncrementBy(Int64 incrementValue)

Last worker process info : System.UnauthorizedAccessException: Access to the registry key 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v14\Transport' is denied.

at Microsoft.Win32.RegistryKey.Win32Error(Int32 errorCode, String str)

at Microsoft.Win32.RegistryKey.CreateSubKey(String subkey, RegistryKeyPermissionCheck permissionCheck, RegistrySecurity registrySecurity)

at Microsoft.Exchange.Diagnostics.ExPerformanceCounter.GetLastWorkerProcessInfo()

Processes running while Performance counter failed to update:

2164 MSExchangeMailSubmission

 

Get the "D:\Program Files\Microsoft\Exchange Server\V14\Setup\Perf" path

Open Exchange Powershell:

Add-pssnapin Microsoft.Exchange.Management.PowerShell.Setup

D:\Program Files\Microsoft\Exchange Server\V14\Setup\Perf\RpcClientAccessPerformanceCounters.ini

 

 

[PS] C:\ >Add-pssnapin Microsoft.Exchange.Management.PowerShell.Setup

[PS] C:\ >New-perfcounters -definitionfilename "D:\Program Files\Microsoft\Exchange Server\V14\Setup\Perf\RpcClientAccessPerformanceCounters.xml"

[PS] C:\ >

 

Event 1000, Source LOADPERF > OK

Performance counters for the MSExchange RpcClientAccess (MSExchange RpcClientAccess) service were loaded successfully. The Record Data in the data section contains the new index values assigned to this service.

 

If this does not fix try following (Correct the paths again)

Add-pssnapin Microsoft.Exchange.Management.PowerShell.Setup


new-perfcounters –definitionfilename "C:\Program Files\Microsoft\Exchange Server\V14\Setup\Perf\AdminAuditPerfCounters.xml"
new-perfcounters –definitionfilename "C:\Program Files\Microsoft\Exchange Server\V14\Setup\Perf\ResourceHealthPerformanceCounters.xml"
new-perfcounters –definitionfilename "C:\Program Files\Microsoft\Exchange Server\V14\Setup\Perf\ThrottlingPerformanceCounters.xml"
new-perfcounters –definitionfilename "C:\Program Files\Microsoft\Exchange Server\V14\Setup\Perf\MiddleTierStoragePerformanceCounters.xml"
new-perfcounters –definitionfilename "C:\Program Files\Microsoft\Exchange Server\V14\Setup\Perf\IsMemberOfResolverPerfCounters.xml"
new-perfcounters –definitionfilename "C:\Program Files\Microsoft\Exchange Server\V14\Setup\Perf\ADRecipientCachePerformanceCounters.xml"
new-perfcounters –definitionfilename "C:\Program Files\Microsoft\Exchange Server\V14\Setup\Perf\RpcClientAccessPerformanceCounters.xml"
new-perfcounters –definitionfilename "C:\Program Files\Microsoft\Exchange Server\V14\Setup\Perf\ExchangeTopologyPerformanceCounters.xml"
new-perfcounters –definitionfilename "C:\Program Files\Microsoft\Exchange Server\V14\Setup\Perf\ExSearchPerformanceCounters.xml"
new-perfcounters –definitionfilename "C:\Program Files\Microsoft\Exchange Server\V14\Setup\Perf\ExSearchCatalogPerformanceCounters.xml"

 

Your worst case scenario in terms of risk would be at the end if all does not solve it you have to re-index the Exchange Databases.

In would wait with that UNTIL you check all the Permissions/Counters and if they are registered correct!

https://social.technet.microsoft.com/Forums/exchange/en-US/5d56b384-2071-49ad-a74f-b76ca8615b94/exchange-2010-msexchange-common-error-106-performance-counter-updating-error?forum=exchangesvrgenerallegacy

https://social.technet.microsoft.com/Forums/exchange/en-US/079598ef-08fe-49b6-af5f-8920d8b34a39/msexchange-common-error?forum=exchange2010

Here is the official Linkl for the RE-INDEX (Last options if it currently fails all of the time)

https://technet.microsoft.com/en-us/library/aa995966.aspx

Ransomware Schweiz: Mcafee TIE Threat Intelligence Exchange im Einsatz

Ransomware Schweiz, Switzerland, Suisse. Lösungen/Solutions.

Intelligente "Black/White-Listing" Technologie z.B. Mcafee TIE ist die derzeit einzige Lösung nebst ATD-Sandboxen um Ransomware/Epressungstrojaner in den Griff zu bekommen. (http://www.mcafee.com/de/products/threat-intelligence-exchange.aspx). Alles andere ist ein Gebastel und man rennt nur den Problemen nach statt diese zu lösen.

 

 

Proof of Concept soll zeigen wie Mcafee TIE unbekannte Dateien erkennt und soll zeigen, dass Directory welche wir im Virenschutz Modul VSE 8.X ausschliessen nicht vom TIE tangiert sind. Diese Ausnahmen gelten AUCH fuer TIE-Modul.

Proof of concept mit Test Datei welche wir anpassen

 

Wir nehmen ein EXEcutable z.B. Superscan.exe und Machen dies auf um es anzupassen.

 

Wir passen einige unrelevante Sachen mit eine HEX Editor im EXE an und speichern dies unter neuen Namen TIE_superscan.exe (HEX Editor z.B. http://hxd-hex-editor.soft32.com). Einfach die TEXT Partie "not be rund in DOS" anpassen.

 

Die Software superscan.exe ist im Mcafee TIE nicht vorhanden (Obwohl Foundstone von Mcafee/Intel gekauft wurde ;-). Ca. 75-80% Aller Binaries sind aber in der GTI/TIE Datenbank vorhanden. (Durchschnitt Windows 7 64BIT client mit ca. 80 Applikationen Schweiz).

 

Test client virtuel exclusions VSE (Normaler Virenschutz)

Der Folder c:\Geheim_geheim ist exlcuded da sonst z.B. Internet Explorer IEAK9/11 Setups aber auch andere Software beim Setup Probleme machen. Aber auch Driver fuer das Installieren des OS selber sind dort vorhanden. Dieser Folder wird nicht gescannt da man dort zu 100% Vertrauenswürdige Files hat. User hat dort keine Schreibrechte.

 

 

Im Mcafee TIE nicht sichtbar da in c:\geheim_geheim

Update Mcafee > Force senden Infos an EPO

 

Kopieren des Files in c:\temp und ausführen

Directory nicht Exlcuded und VSE > Daher TIE auch Scan

 

Alarm auf client und Block des Files beim Öffnen.

 

 

Umgehend auch OHNE Force Framework Agent sichtbar in Mcafee EPO TIE

 

Neue Datei unbekannt und Rating 50 > DAHER geblockt

 

Die anderen Werte welche zur Einstufung der Reputation heran gezogen werden sind noch nicht ermittelt worden. Da es sich um einen Installer handelt wird dies zudem anders gewichtet.

GTI (mcafee P2P/Cloud Datenbank) kennt das File noch nicht:

 

 

 

Anpassen der Reputation

 

Wir passen die Reputation des Files an da wir dieses File kennen und mit dem PLUGIN in TIE fuer VIRUSTOTAL.COM gescannt haben. Dies kann man durch einen Click auf einen Button automatisch machen lassen!

 

Nach dem Anpassen der Reputation von "Unknown" to "File Known Trusted" PLUS zusätzlich einem Rename des EXE (TIE_superscan.exe zu superscan.exe) wird das File ausgeführt. Damit TIE das Binary intelligent einstufen kann muss es längere Zeit und in mehreren Versionen in der Firma sein ODER die TIE/GTI cloud kennt es.

 

 

Anzeige in MCAFEE EPO Konsole (Enforcement Events)

 

Mcafee EPO Konsole, DASHBOARD

 

Weitere Links von uns:

http://www.butsch.ch/post/RansomwareDeutschlandSchweiz-Healthcare-Deutscher-Bund-warnt-und-reagiert.aspx

http://www.butsch.ch/post/Ransomware-Versions-who-spread-in-network-and-attack-locked-files-from-SQL-Servers-coming-up.aspx

 

WSUS: Integrate OS 2012R2 in WSUS Server on 2008/200R2

How to integrate 2012R2 on an older Server OS-version WSUS.

Install this Hotfix on Server 2012 R2 so you see

"Windows 10" instead of "Vista"

and

"Server 2012 R2" instead of "Windows 6.3"

  1. https://support.microsoft.com/en-us/kb/2919355
  2. https://support.microsoft.com/de-de/kb/3095113

Hotfix WIN10 Integration WSUS

This hotfix enables Windows Server Update Services (WSUS) on a Windows Server 2012-based or a Windows Server 2012 R2-based server to sync and distribute feature upgrades for Windows 10. This hotfix is not required to enable WSUS to sync and distribute servicing updates for Windows 10.

Important This update must be installed before you sync the upgrades classification. If the update is not installed when the upgrades classification is enabled, WSUS will see the Windows 10 build 1511 feature upgrade even if it can't properly download and deploy the associated packages. If you try to sync any upgrades without having first installed KB 3095113, you will populate the SUSDB with unusable data that must be cleared before upgrades can be properly distributed.  This situation is recoverable but the process is nontrivial and can be avoided altogether if you make sure to install the update before enabling sync of upgrades.  If you have encountered this issue, refer to the following article:

 

 

Install these two Hotfixes on 2008R2 (One needs a Reboot)

https://support.microsoft.com/de-de/kb/2720211

https://support.microsoft.com/de-de/kb/2720211#/de-de/kb/2720211

https://support.microsoft.com/de-de/kb/2734608

http://www.microsoft.com/en-us/download/details.aspx?id=30747

  • Follow further process in the KB to replace the String in SQL from "Windows 6.3" to others value
  • IF you have synced W8/W10/2012R2 BEFORE you installed the patches ON the WSUS-Server > you may need to follow the procedure mentioned to get the IN SYNC again (Also see number three Post below)

http://www.butsch.ch/post/WSUS-Windows-Update-Server-Most-common-Problems-FAQ.aspx

http://www.butsch.ch/post/WSUS-Windows-Update-Client-Agent-Commandline-wuaucltexe.aspx

http://www.butsch.ch/post/WSUS-SRV-2008-R2-Code-8007EE2.aspx

 

 

 

 

 

Ransomware/Deutschland/Schweiz Healthcare: Deutscher Bund warnt und reagiert

 

https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/Empfehlungen/KRITIS/empfehlungen_kritis_node.html

 

IT-Sicherheitsvorfälle beeinträchtigen Funktionsfähigkeit Kritischer Infrastrukturen

Ort Bonn, Datum 08.03.2016

Im Zusammenhang mit den IT-Sicherheitsvorfällen in Krankenhäusern weist das Bundesamt für Sicherheit in der Informationstechnik (BSI) erneut auf die Risiken hin, die durch Verschlüsselungs-Trojaner (Ransomware) entstehen. Insbesondere Betreiber Kritischer Infrastrukturen müssen sich angesichts der Bedeutung ihrer Versorgungsdienstleistungen für die Gesellschaft mit dem Gefährdungspotenzial durch Cyber-Angriffe auseinander setzen.

Dazu erklärt BSI-Präsident Arne Schönbohm: "Die durch Ransomware verursachten IT-Sicherheitsvorfälle der letzten Wochen zeigen, wie abhängig unsere Gesellschaft von Informationstechnologie ist und welche Auswirkungen ein Cyber-Angriff auf die Verfügbarkeit Kritischer Infrastrukturen haben kann. Krankenhäuser sind aufgrund ihrer herausragenden Bedeutung für das Wohlergehen der Bevölkerung ein wichtiger Teil der Kritischen Infrastrukturen. Sie haben daher eine besondere Verpflichtung, die Verfügbarkeit ihrer Dienstleistungen sicherzustellen. Um dem gerecht zu werden, sollten Krankenhäuser die potenziellen Risiken für die Funktionsfähigkeit ihrer Prozesse kennen und diesen durch geeignete Maßnahmen der Prävention, Detektion und Reaktion begegnen. Das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz verpflichtet Betreiber Kritischer Infrastrukturen dazu, ein Mindestniveau an IT-Sicherheit einzuhalten und ihre IT-Systeme nach dem Stand der Technik abzusichern."

Cyber-Angriffe werden auch in Zukunft eine Bedrohung sein, auf die sich Wirtschaft, Staat und Gesellschaft einstellen müssen. Neben der Prävention sollte zum Risikomanagement einer Organisation auch gehören, sich darauf vorzubereiten, dass ein IT-Sicherheitsvorfall eintritt oder ein Cyber-Angriff erfolgreich ist. Dazu müssen Strukturen geschaffen, Verantwortlichkeiten benannt und Prozesse geübt werden, wie mit einem Vorfall umzugehen ist. Durch eine professionelle Reaktion auf einen Vorfall können Folgeschäden wirksam vermindert werden. Mit der "Risikoanalyse Krankenhaus-IT" zeigt das BSI auf, wie die IT-Abhängigkeiten kritischer Prozesse in Krankenhäusern analysiert werden können. Die Publikation steht auf der Webseite des BSI zum kostenlosen Download zur Verfügung.

 

Aktueller Blog Eintrag:

http://www.butsch.ch/post/Ransomware-Versions-who-spread-in-networks-and-attack-locked-files-from-SQL-Servers-coming-up.aspx