magicpeter

Moin, da wir nach der Hafnium Attacke den Mailserver komplett nach außen zu gemacht haben wollte ich jetzt gerne über einen VPN-Tunnel auf den Exchange Server zugreifen. Kann nicht mit iPhone Mail per OpenVPN auf den ExchangeServer 2013 zugreifen. Leider klappt das noch nicht so ganz. Habe die ovpn-Konfigatrei schon erweitert um den DNS-Server und leite den gesamten Traffic über den VPN. dhcp-option DNS 192.168.30.121 dhcp-option DOMAIN xxxxxx.local redirect-gateway Ich kann bereits per Browser auf den Exchange Zugriefen, aber über das MailProgramm Klappt das noch nicht, Hat einer eine Idee wie ich das hinbekommen könnte. Danke euch

OK, über einen VPN-Tunnel arbeiten ja auch schon einige Benutzer mit Ihren Laptops aber ein iPhone hat bisher noch keinen VPN gehabt, aber warum nicht. Dann können alle Ports aus 25 zu bleiben und die Benutzer können trotzdem E-Mails abholen. Welche VPN-Lösung (App) nutzt du für das iPhone? Ich teste einmal die OpenVPN Connec‪t‬ App und sag euch wie es klappt.

Moin, nach der ganzen Hafnium Attacke hat uns Malwarebytes sehr gut geholfen die Malware wieder los zu werden. Kein anderes AniVirenprogramm von 7 getestet hat auch nur das gefunden was Malwarebytes gefunden und entfernt hat. Ich denke darüber nach jetzt auch auf unseren Servern auf Malwarebytes Endpoint Protection for Servers umzusteigen - Wer nutzt es und wer hat Erfahrung damit? Auf den PC´s nutze ich seit Jahren Malwarebytes und bin damit sehr zufrieden. Was kostet es, 20 PCs und einen Server mit 4 virtuellen Servern mit Malwarebytes zu schützen? Ich werde aus der Preisliste nicht ganz schlau. OK, Malwarebytes Endpoint Detection and Response für 20 Geräte kostet 1699,80 $ pro Jahr https://www.malwarebytes.com/pricing/business/ Endpoint Detection and Response for Servers kostet für einen Server 299.99 $ pro Jahr https://www.malwarebytes.com/business/edr/server-security/ Ich habe habe aber ingesamt 5 Server (1 HyperV und 4 VM´s) das wären dann ja 1499,95$ pro Jahr Das wären dann 1699,80 + 1499,95 = 3199,75€ pro Jahr Liege ich da richtig?

Moin, ja aber wenn der Kunde iPhones und Outlook auf seinem PC nutzen möchte sieht das schon schlecht aus oder? Gibt es da auch eine sichere Lösung? Patchen ist schon sehr wichtig. Wie erfährt man dann wenn neue Patches rauskommen? Wir Patchen einmal pro Monat alle Kunden durch. Das könnte aber schon zu spät sein bei einem Angriff wie Hafnium! Mein du so etwas wie Admin Tiers? https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sicherheit-teil-1/

Moin, so das Thema Hafnium haben wir ja jetzt vollständig durch oder? Mein Hafnium Post - war das ein Erlebnis!!! Nein, haben wir nicht! Was kann man tun, damit so etwas nicht mehr auftritt oder was kann man an der aktuellen Situation verbessern? Was sagt oder besser empfehlt ihr eueren Kunden? Da bin ich jetzt mal gespannt.

So alle Server laufen wieder und die Malware ist weg. Danke an alle für Ihre konstruktiven Eingaben War halt wie immer. Hier meine Vorgehensweise. Vielleicht hilft es ja jemanden bei der gleichen Aufgabenstellung / Bedrohung. Datensicherung aller Server - Veeam B&R Einspielen der MS Sicherheitsupdates - KB5000871 Überprüfung ob Angriff stattgefunden hat - Test-ProxyLogon.ps1 Isolierung Ihres Exchange Servers - Ports auf der Firewall geschlossen (443, 80, 987) Anwendung des MS Tool - Exchange On-Premises Minderungstool (EOMT) Überprüfen und Bereinigung des Aufgabenplaners Automatische Scripte erstellt - DNS-Updater, MS Safety Scanner, Malware Deleter Informationsschreiben erstellt und an alle betroffenen Kunden verschickt Systemüberprüfung auf Hacker & Malware - Thor Lite Scanner Monitoring-Tool installiert und system überwacht - Sysmon Überprüfung Active Directory - Benutzerberechtigung und - Änderung - repadmin Server mit Virus Removal Tool geprüfen und bereinigen - Sophos Removal Tool Server mit Virus Removal Tool prüfen und bereinigen - Kaspersky Removal Tool Server mit Virus Removal Tool prüfen und bereinigen - Microsoft Removal Tool Server mit Virus Removal Tool prüfen und bereinigen - ESET Removal Tool Server mit Virus Removal Tool prüfen und bereinigen - McAfee Removal Tool Server mit Virus Removal Tool prüfen und bereinigen - Norton Removal Tool Server mit Virus Removal Tool prüfen und bereinigen - Malwarebytes (hat die meisten Schädlinge gefunden und entfernt!!!!) Windows Firewall auf blockierte Ports & Veränderungen (Port 135 & 445) überprüfen VM mit Recovery Tool überprüft und bereinigt E-Mail Informationsspeicher auf Bedrohung überprüft Passwörter im Active Directory ändern sobald die Malware entfernt wurde Tägliche Überprüfung der Server auf weitere Bedrohung Weltweite permanente Recherche - Internet, Foren, Expertengruppen, Herstellerseiten, Kollegen, News Auswertung, Fachgespräche

Genau so ist es....

Danke dir.

Hättest du da jemanden den du mir empfehlen könntest? Aktueller Statusbericht der eingeleitet Aktionen: Einspielen der MS Sicherheitsupdates - KB5000871 Überprüfung ob Angriff stattgefunden hat - Test-ProxyLogon.ps1 Isolierung Ihres Exchange Servers - Ports auf der Firewall geschlossen Anwendung des MS Tool - Exchange On-Premises Minderungstool (EOMT) Automatische Scripte erstellt - DNS-Updater, MS Safety Scanner, Malware Deleter Informationsschreiben erstellt und an alle betroffenen Kunden verschickt Systemüberprüfung auf Hacker & Malware - Thor Lite Scanner Monitoring-Tool installiert und system überwacht - Sysmon Überprüfung Active Directory - Benutzerberechtigung und - Änderung - repadmin Server mit Virus Removal Tool prüfen und bereinigen - Sophos Removal Tool VM mit Recovery Tool überprüft und bereinigt E-Mail Informationsspeicher auf Bedrohung überprüft Passwörter im Active Directory geändert Tägliche Überprüfung der Server auf weitere Bedrohung Weltweite permanente Recherche - Internet, Foren, Expertengruppen, Herstellerseiten, Kollegen, News Auswertung, Fachgespräche Hat jemand sonst noch eine Idee was man noch tun könnte? Danke euch.

Moin daabm, danke für den Tip "repadmin". Ich habe mir jetzt einmal die Veränderungen angeschaut. Das sieht für mich aber völlig normal aus oder? Die meisten Werte sind sehr alt und resultieren aus der Erstellung des Objects. Die einzig aktuellen Werte aus diesem Jahr sind: msExchBlockedSendersHash = Dieses Attribut speichert den Hash der Auflistung Liste sicherer Absender für den Benutzer. lastLogonTimestamp = Das Active Directory Attribut lastLogonTimestamp zeigt den exakten Zeitpunkt, an dem sich der Benutzer das letzte Mal erfolgreich in der Domäne authentisiert hat. Das sieht für mich jetzt nicht wie ein Hackerangriff aus. Zumindest bei diesem AD Object. Ich habe da einmal einen kleinen Screenshot gemacht. Sehr ihr da etwa auffälliges?

Moin, ich arbeite auch noch auf auf ein paar Servern und PCs gegen den Mist an Danke für deinen Kommentar und den Input. Hat der Sophos virus removal etwas bei dir gefunden?

Von so bösen Rootkits habe ich schon gehört. Ich habe jetzt noch mal alle Rechner (einer) und Server (drei) mit MSERT und Malewarebytes überprüft. Kein einziger Fund. Ich weiss das muss nix heißen. Keine besonderen Vorkommnisse und auch sonst keine Hinweise für einen Befall außer das AD Attribut "whenChanged" mit relativ aktuellen Datumswerten. So jetzt werde ich noch mal den Thor Lite über die Server und PCs jagen und dann mal schauen. Erst mal Danke. Ahja, hatte jemand von euch denn schon mal den Hafnium Spaß in seinem Netzwerk?

Auch dir Danke ich tesso für einen Kommentar, das habe ich auch schon gefunden, aber mehr rückt Google dazu leider nicht raus. Das sagt natürlich alles und nix..

Ja, danke. ich bin schon dabei den einzigen Client Windows 10 zu überprüfen. Alle andren clients sind Apple Clients.

Sehr komisch, auf dem Server war und ist keine Malware drauf. Laut .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs und MSERT.exe ist nichts auf den beiden Servern drauf. Sie verhalten sich auf völlig normal. Darum wundert mich das mit dem Datum bei den Benutzern schon sehr. Bei welchen Aktionen wird denn das AD Attribut "whenChanged" genau gesetzt?

Schei..... ich geht kaputt..... Hilfeeeeeeee

Was kann das zum Beispiel sein? Klar Passwort. Aber, wenn alle Benutzer plötzlich in dem Feld ein Datum aus diesem Monat haben verstehe ich das nicht so ganz.

Was bedeutet das Attribut "whenChanged" bei einem Benutzer genau? Wird diese Feld mit dem Datum der letzen Netzwerkanmeldung gesetzt oder nur beim Passwort ändern? Oder sonst noch wodurch... Kann an mit das einmal jemand erklären. Danke

Danke dir, aber die wichtige Frage ist ja wie stelle ich denn sicher das sich der neue Exchange nicht mit der gleichen Malware infiziert? Dann war der ganze Spaß für umsonst.

Ja, ok und wie kriegst du E-Mails von dem infizierten Exchange auf den neue Exchange ohne den zu infizieren?

Danke euch für die infos und den Link.

Moin, ich habe heute eine verdächtige Aufgabe im Aufgabenplaner eines Exchange 2013 CU23 gefunden. Aufgabenplaner Name der Aufgabe: vCZkNJFgm Programm/Script: Powershell Argumente hinzufügen: -c PS_CMD Ich habe die Aufgabe erst mal deaktiviert. Ahja und die Aufgabe sollte jede Stunde ausgeführt werden. Was macht diese Aufgabe? Was ist das für ein Programm -c PS_CMD ? Danke

Danke, das ist aber keine echt HILFE. Schön wäre wenn du sagen würdest wie du die Sache lösen würdest.

OK, wie würdest du denn vorgehen, wenn es dein Kunde wäre?

Ja, die anderen Server wurden auch schon überprüft. Kein Befall. Das habe ich dem Kunden auch schon gesagt. Aber, du kennst ja die Kunden.