magicpeter

Was bedeutet das Attribut "whenChanged" bei einem Benutzer genau?

Wird diese Feld mit dem Datum der letzen Netzwerkanmeldung gesetzt oder nur beim Passwort ändern?

Oder sonst noch wodurch...
Kann an mit das einmal jemand erklären.

Danke

 

Gerade eben schrieb chrismue:

Hier ist eine Anleitung für Exchange 2013

 

Gruß

chrismue

Danke dir, aber die wichtige Frage ist ja wie stelle ich denn sicher das sich der neue Exchange nicht mit der gleichen Malware infiziert? 
Dann war der ganze Spaß für umsonst. 
 

 

vor einer Stunde schrieb zahni:

Du must den Server und Exchange neu installieren.

Ja, ok und wie kriegst du E-Mails von dem infizierten Exchange auf den neue Exchange ohne den zu infizieren?

 

 

vor 2 Stunden schrieb tesso:

Ins Blaue, du hast den nächsten angegriffenen Exchange entdeckt. 

 

Der Name der Aufgabe macht mich stutzig. 

-c als Parameter der PS ist mir nicht bekannt. Auch PS_CMD sagt mir nichts. 

 

vor 2 Stunden schrieb winmadness:

Hallo,

es handelt sich hierbei um einen Download-Trojaner. Du findest die Beschreibung bei dr.web. Unter der Überschrift "Executes the following", Punkt 5 (Ende der Seite), wird die Anlage der Task mit Deinen gefundenen Parametern aufgeführt. Wie immer die Empfehlung, dass System neu aufzusetzen. Alle verbundenen Server / Workstations auf Malware prüfen, oder besser noch alle neu aufsetzen.

Danke euch für die infos und den Link.

 

Moin,

ich habe heute eine verdächtige Aufgabe im Aufgabenplaner eines Exchange 2013 CU23 gefunden.

 

Aufgabenplaner

 

Name der Aufgabe:

vCZkNJFgm

 

Programm/Script:

Powershell

 

Argumente hinzufügen: 
-c PS_CMD

 

Ich habe die Aufgabe erst mal deaktiviert.

Ahja und die Aufgabe sollte jede Stunde ausgeführt werden.

 

Was macht diese Aufgabe?

Was ist das für ein Programm -c PS_CMD ?

Danke

 

 

vor 7 Minuten schrieb testperson:

Alles was du so gemacht hast, passt noch zu diesem Zitat? "Unverantwortlich" ist irgendwie noch viel zu beschönigend für dieses Trauerspiel.

Danke, das ist aber keine echt HILFE.
Schön wäre wenn du sagen würdest wie du die Sache lösen würdest.

Gerade eben schrieb tesso:

Den Befall kannst du so einfach ausschließen? Du solltest ins Pentestgeschäft einsteigen.

Es gibt etliche Maßnahmen sich so zu verstecken, daß du nichts siehst. 

Kein Kommentar. 

OK, wie würdest du denn vorgehen, wenn es dein Kunde wäre?

vor 5 Minuten schrieb tesso:

Vom Netz nehmen und neu aufsetzen? Dauert doch auch nicht so lange und du kannst dir die ganze Bastelei sparen.

 

Zumindest der Exchange ist kompromittiert. Wie sieht es mit anderen System (DC) aus? Gab es schon Daten Exfiltration? Evtl. ist die gesamte Umgebung schon gefallen.

 

Den weiter zu betreiben ist unverantwortlich.

Ja, die anderen Server wurden auch schon überprüft. Kein Befall.
Das habe ich dem Kunden auch schon gesagt. Aber, du kennst ja die Kunden. 

vor 9 Minuten schrieb tesso:

Und was folgerst du raus? Welche Maßnahmen unternimmst du jetzt?

0. Bedrohung Überprüft mit
0.1  Test-ProxyLogon.ps1 überprüft

0.2 Exchange On-Premises Minderungstool (EOMT)

1. Kunden informiert mit einen detaillierten Schreiben
2. Interims Maßnahmen um das System am laufen zu halten, da der Kunde das so wollte
3. Scripte erstellt zu Automatisierung 
3.1 DNS-Server zurücksetzen auf Original DNS Server

3.2 MS Virenscanner alle 15 Minuten laufen lassen

3.3 Malwaredateien alle 5 Minuten im Windows Temp Ordner löschen

3.4 Malware Prozess im Taskmanager löschen
4. Server mit Thor Lite Scanner überprüft und ausgewertet
5. Hafnium - Bereinigungsstrategie entwickelt 

Wie schaut es bei euch aus?
Hat auch jemand die Hafnium Bedrohung auf seinen Servern und wie geht Ihr damit um?

Gerade eben schrieb testperson:

Der Serverbetreiber - also der, der das Ding kompromittiert hat - wird bald evtl. steinreich sein. Ein Teil davon scheint ein Coin Miner zu sein.

Ja, das habe ich auch schon rausgefunden. 

Moin, 
folgende Dateien werden immer wieder in das Windows Temp Verzeichnis geladen und dann ausgeführt.
 

knil.exe

m6.bin

n6.bin.ori

m6.bin.exe

Sind die euch Schin einmal untergekommen?

 

Kurzes Update:
Nach weiterer Überprüfung des Exchange Server habe ich verdächtige Aufgaben im Aufgabenplaner gefunden und gelöscht.
Diese Aufgaben wurden teilweise alle 40 Minuten durchgeführt, was auch der Änderungszeit der DSN-Server-Einträge entspricht.

vor 16 Minuten schrieb MurdocX:

Hallo Peter,

 

ich kann Dir genau sagen wie das abläuft. Das habe ich gerade hinter mir, bzw. ist man eigentlich nie wirklich fertig. Je nach Umgebung kann man mit ca. 1 Monat Vollzeit, oder mehreren Monaten mit Tagesgeschäft rechnen. Und ja, auch alle vorhanden Firmencomputer wurden neu installiert.

 

Nachtrag:

Nach einer Infektion wird die Geschäftsebene auf die Risiken und Auswirkungen deutlich hingewiesen. Ab dann ist es - meiner Meinung nach - nicht mehr die eigene Entscheidung. Hier geht es um reale Arbeitsplätze und die Existenz der Firma. Das sollte nicht auf die leichte Schulter genommen werden.

 

Schöne Grüße

Das sehe ich genauso und werde die Geschäftsführung auch entsprechend informieren.
Danke für deinen Kommentar.

vor 6 Minuten schrieb testperson:

Vielleicht gibt die Datenschutzbehörde / Datenschutzaufsichtsbehörde des entsprechenden Landes ja eine Empfehlung zum "Was jetzt tun" an den Kunden(?) und dessen Kunden(?) ab? Die gefundenen Webshells gelten sicherlich als Kompromittierung und werden AFAIK von jeder der Behörden als "meldepflichtig" eingestuft.

Das denke ich auch und werde die Geschäftsführung und den Datenschutzbeauftragten informieren.

Danke dir...

vor 1 Minute schrieb Dukel:

Die willst du ja nicht hören. Aber ich wiederhole mich aus einem anderen Thread:

 

 

Danke Dunkel, ja das wäre die letzte Möglichkeit "NEUAUFSETZEN"

Aber vielleicht geht es ja auch einfacher und billiger. 

Mal schaun wo wir genau stehen und dann wird entschieden was geht und was nicht geht.

Nochmals Danke.

vor 50 Minuten schrieb MurdocX:

Naja, um die Adressen zu ändern benötigt der Angreifer Admin-Berechtigung auf Domänen-Ebene. Er hatte also schon Zeit sich einzunisten. Für so etwas kenne ich keine Workarounds.  

 

vor 49 Minuten schrieb testperson:

Server ausschalten, ohne Netzwerk betreiben oder komplett vom Internet abschneiden. ;)

 

Erst mal danke für euere Rückmeldung.

 

Folgende Bedrohungen wurden gefunden und entfernt:

Backdoor:MSIL/Chopper.F!dha

Backdoor:MSIL/Chopper.M!dha

Exploit:ASP/CVE-2021-27065

Backdoor:ASP\Chopper.R!dha

Trojaner:Win32/Amynex.A

 

Ich habe jetzt folgendes gemacht

 

1. den Exchange Server noch einmal neugestartet

2. .\EOMT.ps1 noch mal laufen lassen

Ergebnis: 2 Bedrohungen gefunden und entfernt wurden

Backdoor:ASP\Chopper.R!dha

Trojaner:Win32/Amynex.A

3. Server neugestartet

4. .\EOMT.ps1 noch mal laufen lassen

Ergebnis: keine Bedrohung wurde gefunden

5. .\EOMT.ps1 -RunFullScan -DoNotRunMitigation gestartet

Ergebnis: steht nicht aus

6. Microsoft Safety Scanner für den Scan des ServerDC ausgeführt

Ergebnis: keine Bedrohung gefunden

 

Mal schaun wie es weiter geht.

Hat jemand noch eine Idee? ;) 

 

 

 

vor 30 Minuten schrieb zahni:

Nun, da ist wohl eine Neuinstallation angesagt. Wenn schon infiziert, dann wird das Tool auch nichts bringen.

Wau, das wäre aber richtig schlecht...

Gibt es keine andere Vorgehensweise oder einen Workaround um den Server am Leben zuhalten?

 

Moin,

ich habe vorgestern auf meinem Exchange 2013 CU23 Server das Microsoft Tool EOMT.ps1 benutzt.

Es wurden 2 Malware gefunden und entfernt.

 

Seit heute wechselt der DNS Server jede Stunde auf 8.8.8.8 und 9.9.9.9, dann ändere ich es wieder auf den eigentlich DNS-Server und nach einer Stunde sind wieder die beiden DNS-Server dort eingetragen.

 

Die IP-Adresse und der DNS sind natürlich fest vergeben bei dem Exchange Server.

 

Hat dieses Verhalten schon einmal jemand beobachtet nach dem Einsatz des Microsoft Tool EOMT.ps1?

Was würdet Ihr jetzt machen?

 

vor 8 Minuten schrieb Dukel:

Bei der Cloud sollten man schauen, ob es auch Cloud Native Applikationen gibt. D.h. nicht einfach nur VM's wie OnPrem.

 

Ich würde das auch mit einem Dienstleister mit Cloud Expertise anschauen. Schnell baut man sich etwas, was zu teuer ist oder andere Probleme hat.

 

Alt alternative zu einem eigenen DC gibt es auch Azure AD und für RDS gibt es auch entsprechende Lösungen.

Moin, danke. Ja, ich werde da mal rumfragen wer sich mit sowas auskennt.
Ich habe gerade beim Hersteller der Software gehen, das die auch eine eigene Cloud-Lösung dazu anbieten. 

Aber nur mit der neuen Version der Software, mal schaun ob das eine Lösung wäre.
Vielleicht mirgiert der Hersteller die Daten der alten Version in die neue Version, dann wäre das eine Lösung.
 

vor 6 Minuten schrieb testperson:

Hi,

 

ja, geht (in der Theorie). Kommt (in der Praxis) aber drauf an. Was sagt der Hersteller der Warenwirtschaft zu dem Plan? Bietet der Hersteller evtl. eine eigene Cloud Lösung an?

Ansonsten kannst du dir doch 170€ Azure Guthaben für 30 Tage schnappen und mit dem Kunden einen PoC aufbauen: https://azure.microsoft.com/de-de/free/

 

In der Regel läuft dann allerdings die gesamte Applikation "in der Cloud" und man greift dann bspw. mit dem Browser darauf zu oder die Clients liegen in Form von Terminalservern oder virtuellen Desktops (im Fall von Azure dann z.B.: Windows Virtual Desktop) auch "in der Cloud".

 

Gruß

Jan

Moin Jan,
ich werde morgen mal den Hersteller kontaktieren und schaun was der für Lösungen hat. 

Ja, die Idee mit Azure hatte ich auch schon im Hinterkopf. ;) 

Das wäre ein DC, ein SQL Server  und einen RDP Server die man dazu bräuchte. Also 3 Server. 
Ja, das könnte man machen, aber ich suche nach einen kleinen schlangen Lösung für klein Kunden mit max 5 PC´s.
 

vor 8 Minuten schrieb BOfH_666:

Hast Du denn schon mal danach gesucht? Microsoft hält mit sowas ja nicht hinter'm Berg ...  

 

https://azure.microsoft.com/de-de/services/sql-database/

 

... und Amazon oder andere Anbieter von Cloud-Diensten übrigens auch nicht.

Ja, danke. Die Seite hatte ich auch schon gefunden. 
Mich interessiert natürlich eure Erfahrungen damit und wie Ihr so etwas realisieren würdet.

Moin,

ein Kunde von mir möchte alles in der Cloud haben.

Er hat 5 PC´s mit Windows 10 und eine NAS 4 TB.

Die NAS synchronisiert mit OneDrive alle Daten in die Cloud so das er auch von anderen Standorten auf die Daten zugreifen kann.

Seine E-Mail Konten hat er über Microsoft 365 realisiert.

Klappt alles toll. Jetzt braucht er aber für seine Warenwirtschaft einen MS SQL Server 2019. Da er keinen eigenen Server Vorort hat wird das schwierig.

Er stellt sich vor das er den SQL Server genauso wie seine E-Mail Konto bei Microsoft 365 / Azure mietet.

 

Geht das und wie schaut denn die Performance aus auf seinen PC´s?

Er hat eine schnelle Internet-Leitung 250 MBit Download / 10 MBit Upload mit einer Latenz von 30 ms.

Da die Latenz in einem normalen Netzwerk so bei 1 ms liegt frage ich mich jetzt kann man so etwas überhaupt performant in der Cloud realisieren?

 

Es soll kein Terminserver in der Cloud betreiben werden, das das funktioniert geht ist mir schon klar.

 

Er will nur den MS SQL Server in der Cloud.

 

Weis jemand ob und wie so etwas geht?

vor 22 Stunden schrieb daabm:

Die stehen auf privat, weil der jeweilige Server beim Boot keinen DC findet. Warum? Das mußt Du jetzt herausfinden... Könnte helfen, den DC "vorher" neu zu starten und nicht alle gleichzeitig

Gute Idee, ich werde das mal testen.. Danke

 

Danke an alle für die Tipps.. Ich werde das mal testen... und berichten...

 

Moin,

ich betreibe einen Windows Hyper-V 2019 mit 3 VMs. Das Netzwerk hat einen Domaincontroler, einen Exchange und einen MS SQL Server.

Wenn ich die VM´s hin und wieder mal Neustarte dann sind die Netzwerkkarten nach dem Neustart oft auf Privatnetzwerk anstatt auf Domainennetzwerk eingestellt.

Warum ist das so und wie kann man das verhindern?

 

Ich weis wie ich das Problem beheben kann, aber es wäre mir lieber, wenn das Problem gar nicht auftreten würde.

 

Kennt das Phänomen jemand?

 

vor 13 Minuten schrieb NorbertFe:

Notwendig ist es nicht, aber stören würde es auch nicht. Ist der Arbeitsaufwand so hoch für dich, dass die Überlegung dazu überhaupt notwendig ist? 

Nein, ist es nicht. Aber ich wollte nur wissen ob es notwendig ist in meiner Konstellation mit Smarthosts.
Danke Dir.

 

Moin,

ich mache mir gerade einmal Gedanken darüber ob ich für meine Exchange Server die mit einem Smarthost versenden überhaupt Reverse DNS & Helo einrichten sollte.

 

Wird Reverse DNS & Helo wenn man mit einem Smarthost versendet überhaupt benötigt?

 

Laut diesem Artikel https://www.msxfaq.de/internet/reversedns.htm verstehe ich nur das es wenn der Exchange selber direkt sendet notwendig ist.

Da ich aber über Smarthost senden doch eigentlich nicht oder?

Reverse DNS & Helo haben doch mit dem Empfang meines Exchange Server nicht zu tun oder?

 

 

vor 1 Minute schrieb djmaker:

Ist der Treiber im Isolationsmodus?

Wo kann ich das nachschauen?

 

Ich habe die Druckertreiber vom Server gelöscht und jetzt ist wieder alles OK.
Danke euch...

Moin,

 

wir haben einen Windows 2012 Server da hat seit 2 Tagen das SpoolerSubSystem sehr hohe CPU Auslastung und es wird immer mehr. Dann kann man nur noch den Dienst "Druckerwarteschlange" Neustarten und dann geht es wieder von vorne los.

 

Sehr komisch. Wir hatten vor 2 Wochen einen neuen Drucker Brother MFC-L6970DW installiert und im Netzwerk freigegeben. Hat super funktioniert druckte und scannte wie Teufel ;) 

Dann vor 2 Tagen fing das SpoolerSubSystem den Server auszulasten. Auch wenn keiner druckt läuft das SpoolerSubSystem auf Hochtouren.

Hat das schon mal jemand erlebt?

Die Einträge in den Google SERPS habe ich schon abgearbeitet, aber leider ohne Erfolg.