magicpeter

Danke dir, aber die wichtige Frage ist ja wie stelle ich denn sicher das sich der neue Exchange nicht mit der gleichen Malware infiziert? Dann war der ganze Spaß für umsonst.

Ja, ok und wie kriegst du E-Mails von dem infizierten Exchange auf den neue Exchange ohne den zu infizieren?

Danke euch für die infos und den Link.

Moin, ich habe heute eine verdächtige Aufgabe im Aufgabenplaner eines Exchange 2013 CU23 gefunden. Aufgabenplaner Name der Aufgabe: vCZkNJFgm Programm/Script: Powershell Argumente hinzufügen: -c PS_CMD Ich habe die Aufgabe erst mal deaktiviert. Ahja und die Aufgabe sollte jede Stunde ausgeführt werden. Was macht diese Aufgabe? Was ist das für ein Programm -c PS_CMD ? Danke

Danke, das ist aber keine echt HILFE. Schön wäre wenn du sagen würdest wie du die Sache lösen würdest.

OK, wie würdest du denn vorgehen, wenn es dein Kunde wäre?

Ja, die anderen Server wurden auch schon überprüft. Kein Befall. Das habe ich dem Kunden auch schon gesagt. Aber, du kennst ja die Kunden.

0. Bedrohung Überprüft mit 0.1 Test-ProxyLogon.ps1 überprüft 0.2 Exchange On-Premises Minderungstool (EOMT) 1. Kunden informiert mit einen detaillierten Schreiben 2. Interims Maßnahmen um das System am laufen zu halten, da der Kunde das so wollte 3. Scripte erstellt zu Automatisierung 3.1 DNS-Server zurücksetzen auf Original DNS Server 3.2 MS Virenscanner alle 15 Minuten laufen lassen 3.3 Malwaredateien alle 5 Minuten im Windows Temp Ordner löschen 3.4 Malware Prozess im Taskmanager löschen 4. Server mit Thor Lite Scanner überprüft und ausgewertet 5. Hafnium - Bereinigungsstrategie entwickelt Wie schaut es bei euch aus? Hat auch jemand die Hafnium Bedrohung auf seinen Servern und wie geht Ihr damit um?

Ja, das habe ich auch schon rausgefunden.

Moin, folgende Dateien werden immer wieder in das Windows Temp Verzeichnis geladen und dann ausgeführt. knil.exe m6.bin n6.bin.ori m6.bin.exe Sind die euch Schin einmal untergekommen?

Kurzes Update: Nach weiterer Überprüfung des Exchange Server habe ich verdächtige Aufgaben im Aufgabenplaner gefunden und gelöscht. Diese Aufgaben wurden teilweise alle 40 Minuten durchgeführt, was auch der Änderungszeit der DSN-Server-Einträge entspricht. Das sehe ich genauso und werde die Geschäftsführung auch entsprechend informieren. Danke für deinen Kommentar. Das denke ich auch und werde die Geschäftsführung und den Datenschutzbeauftragten informieren. Danke dir...

Danke Dunkel, ja das wäre die letzte Möglichkeit "NEUAUFSETZEN" Aber vielleicht geht es ja auch einfacher und billiger. Mal schaun wo wir genau stehen und dann wird entschieden was geht und was nicht geht. Nochmals Danke.

Erst mal danke für euere Rückmeldung. Folgende Bedrohungen wurden gefunden und entfernt: Backdoor:MSIL/Chopper.F!dha Backdoor:MSIL/Chopper.M!dha Exploit:ASP/CVE-2021-27065 Backdoor:ASP\Chopper.R!dha Trojaner:Win32/Amynex.A Ich habe jetzt folgendes gemacht 1. den Exchange Server noch einmal neugestartet 2. .\EOMT.ps1 noch mal laufen lassen Ergebnis: 2 Bedrohungen gefunden und entfernt wurden Backdoor:ASP\Chopper.R!dha Trojaner:Win32/Amynex.A 3. Server neugestartet 4. .\EOMT.ps1 noch mal laufen lassen Ergebnis: keine Bedrohung wurde gefunden 5. .\EOMT.ps1 -RunFullScan -DoNotRunMitigation gestartet Ergebnis: steht nicht aus 6. Microsoft Safety Scanner für den Scan des ServerDC ausgeführt Ergebnis: keine Bedrohung gefunden Mal schaun wie es weiter geht. Hat jemand noch eine Idee? ;)

Wau, das wäre aber richtig schlecht... Gibt es keine andere Vorgehensweise oder einen Workaround um den Server am Leben zuhalten?

Moin, ich habe vorgestern auf meinem Exchange 2013 CU23 Server das Microsoft Tool EOMT.ps1 benutzt. Es wurden 2 Malware gefunden und entfernt. Seit heute wechselt der DNS Server jede Stunde auf 8.8.8.8 und 9.9.9.9, dann ändere ich es wieder auf den eigentlich DNS-Server und nach einer Stunde sind wieder die beiden DNS-Server dort eingetragen. Die IP-Adresse und der DNS sind natürlich fest vergeben bei dem Exchange Server. Hat dieses Verhalten schon einmal jemand beobachtet nach dem Einsatz des Microsoft Tool EOMT.ps1? Was würdet Ihr jetzt machen?

Moin, danke. Ja, ich werde da mal rumfragen wer sich mit sowas auskennt. Ich habe gerade beim Hersteller der Software gehen, das die auch eine eigene Cloud-Lösung dazu anbieten. Aber nur mit der neuen Version der Software, mal schaun ob das eine Lösung wäre. Vielleicht mirgiert der Hersteller die Daten der alten Version in die neue Version, dann wäre das eine Lösung.

Moin Jan, ich werde morgen mal den Hersteller kontaktieren und schaun was der für Lösungen hat. Ja, die Idee mit Azure hatte ich auch schon im Hinterkopf. ;) Das wäre ein DC, ein SQL Server und einen RDP Server die man dazu bräuchte. Also 3 Server. Ja, das könnte man machen, aber ich suche nach einen kleinen schlangen Lösung für klein Kunden mit max 5 PC´s. Ja, danke. Die Seite hatte ich auch schon gefunden. Mich interessiert natürlich eure Erfahrungen damit und wie Ihr so etwas realisieren würdet.

Moin, ein Kunde von mir möchte alles in der Cloud haben. Er hat 5 PC´s mit Windows 10 und eine NAS 4 TB. Die NAS synchronisiert mit OneDrive alle Daten in die Cloud so das er auch von anderen Standorten auf die Daten zugreifen kann. Seine E-Mail Konten hat er über Microsoft 365 realisiert. Klappt alles toll. Jetzt braucht er aber für seine Warenwirtschaft einen MS SQL Server 2019. Da er keinen eigenen Server Vorort hat wird das schwierig. Er stellt sich vor das er den SQL Server genauso wie seine E-Mail Konto bei Microsoft 365 / Azure mietet. Geht das und wie schaut denn die Performance aus auf seinen PC´s? Er hat eine schnelle Internet-Leitung 250 MBit Download / 10 MBit Upload mit einer Latenz von 30 ms. Da die Latenz in einem normalen Netzwerk so bei 1 ms liegt frage ich mich jetzt kann man so etwas überhaupt performant in der Cloud realisieren? Es soll kein Terminserver in der Cloud betreiben werden, das das funktioniert geht ist mir schon klar. Er will nur den MS SQL Server in der Cloud. Weis jemand ob und wie so etwas geht?

Gute Idee, ich werde das mal testen.. Danke Danke an alle für die Tipps.. Ich werde das mal testen... und berichten...

Moin, ich betreibe einen Windows Hyper-V 2019 mit 3 VMs. Das Netzwerk hat einen Domaincontroler, einen Exchange und einen MS SQL Server. Wenn ich die VM´s hin und wieder mal Neustarte dann sind die Netzwerkkarten nach dem Neustart oft auf Privatnetzwerk anstatt auf Domainennetzwerk eingestellt. Warum ist das so und wie kann man das verhindern? Ich weis wie ich das Problem beheben kann, aber es wäre mir lieber, wenn das Problem gar nicht auftreten würde. Kennt das Phänomen jemand?

Nein, ist es nicht. Aber ich wollte nur wissen ob es notwendig ist in meiner Konstellation mit Smarthosts. Danke Dir.

Moin, ich mache mir gerade einmal Gedanken darüber ob ich für meine Exchange Server die mit einem Smarthost versenden überhaupt Reverse DNS & Helo einrichten sollte. Wird Reverse DNS & Helo wenn man mit einem Smarthost versendet überhaupt benötigt? Laut diesem Artikel https://www.msxfaq.de/internet/reversedns.htm verstehe ich nur das es wenn der Exchange selber direkt sendet notwendig ist. Da ich aber über Smarthost senden doch eigentlich nicht oder? Reverse DNS & Helo haben doch mit dem Empfang meines Exchange Server nicht zu tun oder?

Wo kann ich das nachschauen? Ich habe die Druckertreiber vom Server gelöscht und jetzt ist wieder alles OK. Danke euch...

Moin, wir haben einen Windows 2012 Server da hat seit 2 Tagen das SpoolerSubSystem sehr hohe CPU Auslastung und es wird immer mehr. Dann kann man nur noch den Dienst "Druckerwarteschlange" Neustarten und dann geht es wieder von vorne los. Sehr komisch. Wir hatten vor 2 Wochen einen neuen Drucker Brother MFC-L6970DW installiert und im Netzwerk freigegeben. Hat super funktioniert druckte und scannte wie Teufel ;) Dann vor 2 Tagen fing das SpoolerSubSystem den Server auszulasten. Auch wenn keiner druckt läuft das SpoolerSubSystem auf Hochtouren. Hat das schon mal jemand erlebt? Die Einträge in den Google SERPS habe ich schon abgearbeitet, aber leider ohne Erfolg.

Ah, das ist gut zu Wissen. Danke dir...