testperson

Alles was du so gemacht hast, passt noch zu diesem Zitat? "Unverantwortlich" ist irgendwie noch viel zu beschönigend für dieses Trauerspiel.

Hi, was sagt der Hersteller zu diesem Problem bzw. dem Windows Feature dahinter? Ansonsten: How to use random hardware addresses (microsoft.com) Gruß Jan

Der Serverbetreiber - also der, der das Ding kompromittiert hat - wird bald evtl. steinreich sein. Ein Teil davon scheint ein Coin Miner zu sein.

Jetzt hast du mich überzeugt. Ich hab das vorher scheinbar nicht richtig verstanden. Aufgabenplanung + PowerShell - Sind auch Tools der tagsüber schlafenden H4x0r!

Dann sind das die guterzogenen, die sich an "den Kodex" halten. Die Tragen i.d.R. auch schwarze Kapuzenpullis und nutzen ein "Matrix Wallpaper". :) Du bist auf dem Holzweg und zwar auf dem ziemlichen morschen. Häng ein SSL / clientless VPN oder ggfs. Remote Web und Remotedesktop Gateway davor bzw. irgendwas, was anhand zweiter Faktoren eine Authentifizierung macht und dann RDP "tunnelt".

Hi, was macht der Server? Sofern es eine VM ist, ist es evtl. einfacher einen neuen Server zu installieren, die Applikation(en) zu migrieren und den "defekten" Server zu entsorgen. Gruß Jan

Sobald die Zone erstellt ist "net stop dns-server & net start dns-server" an den DNS Servern sowie an den DNS Servern sowie Clients "ipconfig /flushdns". Ansonsten wäre die Frage, wie sieht denn die DNS Konfiguration auf den Schnittstellen der DNS Server und der Clients aus?

Dann lies doch ab dem "oder eben mit" mal weiter und schau dir "foreach" an.

Hi, das wird daran liegen, dass "$datei" ein Array ist. Sofern in "suche_nach.txt" immer nur eine Zeile steht, könntest du es mit "$datei[0]" testen oder eben mit "foreach" den Inhalt aus "$datei" zeilenweise verarbeiten. Ansonsten solltest du so weit links wie möglich filtern. Get-Childitem kennt dafür bspw. "-Filter". Gruß Jan

Hi, sind die PCs alle aus dem Internet per RDP erreichbar? Dann solltest du das (evtl.) einfach abschalten. Ansonsten ganz schönes Klischeedenken, dass Hacker nur nachts on Tour sind und tagsüber schlafen. Gruß Jan

Ja. Die externe IP wird ja derzeit aufgelöst und das wolltest du doch für die internen Clients in deinem LAN/WLAN ändern?

Hi, das Stichwort dürfte hier dann wohl "Split DNS" sein. Entweder erstellst du die gesamte Zone am internen DNS und pflegst dort die Records, wie du sie brauchst oder du erstellst für die Records, die du brauchst, Host Zones. Host Zone: Du erstellst bspw. die Zone "mail.domainvoncontabo.de" und dort wird ein neuer A-Record ohne Namen und nur mit der internen IP deines Mailservers angelegt. Gruß Jan

Hi, nimmst du dein "eigenes WLAN" in Form einer Fritzbox o.ä. mit oder verbindest du die Notebooks in die WLANs der Kunden? Im ersten Fall sind die IPs doch vollkommen egal. Den zweiten Fall würde ich gar nicht erst in Betracht ziehen. Gruß Jan

Hi, sofern der "Free Loadbalancer" von Kemp noch das ESP integriert hat, wäre der einen Blick wert: Free Load Balancer for IT Admins, Software Developers, DevOps and Open Source Users Gruß Jan

Meine Meinung zu solchen Themen: Gib ein initiales default Startmenü / Profil vor und lass den User User sein und ihn in dem Bereich machen was er will.

Hi, ich würde hier ansetzen und bei den Benutzern fragen, ob die das auch wollen. Mir würde es ziemlich auf den Senkel gehen, das Startmenü nicht nach meinen Wünschen "zu gestalten". Was für eine Umgebung ist das? Evtl. gibt es ja praktikablere Ansätze. Beim Startmenü habe ich das seit 2008 R2 / Win7 nicht mehr versuchen müssen. Aber generell ging das "damals" zumindest, alles an den gleichen Pfad zu leiten und den Usern nur Lese Rechte zu geben. Seit Win 8 / 2012 würde ich tippen, dass es mit dem Startmenü schwierig wird. Ob das aber jemals die "Idee" von Microsoft war denke ich ebenfalls nicht. Gruß Jan

Man kann nicht alles haben. Keine Arme - Keine Kekse. Falsche "SKU" - Keine GPOs.

Vielleicht gibt die Datenschutzbehörde / Datenschutzaufsichtsbehörde des entsprechenden Landes ja eine Empfehlung zum "Was jetzt tun" an den Kunden(?) und dessen Kunden(?) ab? Die gefundenen Webshells gelten sicherlich als Kompromittierung und werden AFAIK von jeder der Behörden als "meldepflichtig" eingestuft.

Hi, du könntest dir raussuchen, wo der "Kram" in die Registry geschrieben wird und es dann per GPP Registry in den passenden Nicht-Policy-Zweig schreiben. Gruß Jan

Server ausschalten, ohne Netzwerk betreiben oder komplett vom Internet abschneiden. ;)

Hi, hast du denn eine Public Folder Mailbox angelegt: Create a public folder mailbox in Exchange Server | Microsoft Docs Gruß Jan

Wer sagt, dass (Exchange) Server erst seit dem 02.03 attackiert werden. ;) Es gab ja in den letzten Jahren "häufiger" Security Updates für die damals aktuellen CUs. Du könntest bei den Herstellern auch Tickets aufmachen und nachhören, ob denen dieses Script bekannt vorkommt.

Hi, ich würde immer von DynDNS abraten und "die paar Mark" für ne feste IP beim Provider investieren. Den Rest übernimmt dann "Notfalls" - wie tesso schon schreibt - Let's Encrypt. Gruß Jan

Auf die Schnelle überflogen, werden alle öffentlichen Ordner abgegrast und samt den User mit dem Recht "DeleteAllItems, EditAllItems, ReadItems und FolderVisible" in eine Datei geschrieben.

Wenn du die "EXE" startest, könntest du mal im %temp% suchen, ob da etwas entpackt wird und dann ein MSI oder etwas brauchbares ist. Ansonsten wäre wohl der sinnvollste Weg, den Hersteller zu befragen.