fmsmuc

Meine Vorgehensweise war sehr ähnlich. Da alles virtualisiert war etwas anders - Ports geschlossen (Router und Firewall) - Export der virtuellen Maschinen - alles runter gefahren und einzeln bearbeitet (auf einem Server diverse anti Virus/malware Scanner versucht und zum Ergebnis gekommen dass die Kombination der drei reicht) - ms safety Scanner (minimal Fund) - sophos (minimaler Fund) - malwarebytes (viele Treffer und auch RAM Treffer) auch wichtig, lokale defender Firewalls auf den Servern überprüfen da malware die unter Umständen ändert Server runter gefahren und nächsten server ganz wichtig dass alles aus ist und jeweils nur 1 Server bearbeitet wird - informationsspeicher bei Exchange wird sowieso mit vier versch. Antivirus Programmen online gescannt nachdem alle Server abgearbeitet waren hochgefahren und beobachtet - dann Ports geöffnet und jeweils malwarebytes nochmals laufen lassen. Prozesse auf den jeweiligen Servern überprüft. firewall Filter eingerichtet und überwacht läuft wieder 1a

Natürlich erstmal Ports blockieren Auch wenn ich hier nur wenig Beiträge habe, bin ich sicher kein Neuling. Ich war so wirklich einer der Allersten, der vor über 20 Jahren die Beta von dem ersten Exchange aufsetzte mit ca. 100 Usern. Dies war dann kurz drauf weltweit das erstes Referenz System von MS mit mehreren tausend Usern. Wurde damals sogar von MS USA aufgefordert Fragen für den ersten MS Exchange Test einzureichen. Natürlich hatte ich nach dem Patch die Microsoft Scripts laufen lassen und ach sieh mal da, es hatte nichts gefunden. Die Problem sind erst zum Vorschein gekommen als es aktiv wurde . Das Microsoft saftey tool hatte minimal gefunden aber keine Abhilfe. Wenn jemand sagt, das wäre der Zeitpunkt komplexe Umgebung zu überdenken und neu zu machen, dann muss ich widersprechen. Natürlich ist alles virtualisert aber es gibt viele Parameter. Was Sicherung betrifft, weiss man in dem Fall auch nicht was betroffen ist oder was nicht. Hier war es nicht nur Exchange sondern eine ganze Reihe von Servern. Da die Lücke von mehreren Gruppen ausgenutzt wurde, war in dem Fall das "Glück", dass es nur die Gruppe war die Rechenzeit, in Form von Mining stehlen. Was das Zeug mach kann man bei DR Web nachlesen. Vielleicht gehöre ich noch zur Sorte, aufgeben gibts nicht. Was man hier Microsoft ankreiden muss ist, dass der Patch so spät nach Bekanntwerden der Lücke kam. Das Gleiche betrifft das BSI, welche es auch schon vorher wusste. Hätte man die Infos gehabt, wäre halt Port zugemacht worden und OWA deaktiv. Selbst heute gibt es noch offene Exchange Server weil zwar das Online Update alle Updates installiert aber viele kleine Exchange Betreiber nicht wissen, dass erst die CU den Schutz bringen. Dass Microft beim Online Update keinen Hinweis auf CUs bringt ist mehr als nachlässig. Natürlich bespricht ma solche Sachen mit der GL Das sind Aussagen wo ich komplett widerspreche. Natürlich blockt man am Firewall und kontrolliert nach Entfernung was am Firewall abläuft. Was ich hier vermisse sind echte Ratschläge - nur Neuaufsetzen ist kein Ratschlag. Manchmal sind selbst kleine Tipps hilfreich. Der Grund für die Ausbreitung war in dem Fall die Politik von MS - Hallo, zu überprüfen welche CU und beim Update eine Warnmeldung zu senden wäre wirklich banal. Von der Zeit bis zur Verfügbarkeit des Patch, brauchen wir nicht zu reden.

So, bei mir ist es weg. Die Kombination Avira und dann malewarebyte hat das Zeug entfernt. Hatte alle rechner aus, dann immer einen bearbeitet und gleich wieder ausgeschaltet. Der microsoft security scanner findet zwar aber beseitigt nicht die Ursache Läuft wieder 1a. Nein neu aufsetzen ist in komplexen Umgebungen nicht so einfach. Exchange, connectoren für smtp versand von apps, firewallregeln, spamfilter Programme Regeln und und und - domain controller usw. Das Zeug hatte sich in ganz kurzer Zeit über 10 Server verbreitet Alle neu aufsetzen wäre mit Sicherung der netto daten ein riesen Aufwand gewesen.

Im Gegensatz zu dem Microsoft Security Scanner, findet das Sophos Tool den Miner M6.Bin und entfernt diesen. In dem PDF von bitdefender ist ja gut beschrieben wie das Zeug arbeitet. Man kann das auch von Hand entferen. Sophos war für mich einfacher, weil aus welchen Gründen auch immer das Bitdefender tool nicht mit meinem OS funktionierte. such mal mit google nach: LemonDuck Crypto-Miner exchange Bisher schaute es gut aus, obwohl mehrere Server betroffen waren. Scheint funktioniert zu haben Man muss natürlich berücksichtigen, dass mehrere Hacker Gruppen die Exchange Lücke verwendet haben. Anzeichen für den Crypto Miner ist task m6.bin (hohe Prozesorleistung) und DNS Wechsel auf die Google DNS Server. Der Wechsel störte zwar das system, hatte aber den Vorteil, dass die server dann nicht mehr mit der domain arbeiten. Alles was nicht domain ist, blockt bei meiner Konfiguration der windows firewall auf dem jeweiligen server. /Edit Nein war nicht erfolgreich ziel ist praktisch Rechenleistung für den miner zu bekommen bei bitdefender steht zwar wie das mit dem miner funktioniert, die Beschreibung der download malware findet man hier: https://vms.drweb.com/virus/?i=21342844&lng=en dr.web läuft allerdings nicht auf server.

Bin auch am entfernen von dem Mist. 1.) Scheduler die komischen Tasks Löschen 2.) mit Taskmanger die powershell tasks killen 3.) windows/temp Löschen 4.) Microsoft saftey scanner drüber laufen 5.) m6.bin mit taskmanger killen 6.) Sophos virus removal downloaden und starten (löscht den miner) 7.) wenn owa nicht gebraucht wird am router port für http zugriffe sperren 8.) neu starten - tasks und sheduler kontrollieren 9.) Bitdefender-PR-Whitepaper-LemonDuck-creat4826-en-EN-GenericUse.pdf laden und logfiles anschauen wie im pdf beschrieben 10.) sophos auch bei anderen rechnern laufen lassen - kann sein dass der miner auf mehreren rechnern ist 11.) Passwörter ändern bei mir schaut es schon ganz gut aus - hatte einen pc vergessen und schon ist es wieder aufgetaucht. Darum sophos auf allen PCs / virt Maschinen laufen lassen

Ein weiteres booten lief ganz normal ab. Netzwerkkarte wird ganz normal erkannt. Wäre interessant was da im Hintergrund nach dem Update abgelaufen ist. Hängt irgendwie mit den Integrationsdiensten zusammen aber was es genau war lässt sich nicht nachvollziehen. Auch das Event Log war nicht unbedingt hilfreich. Zumindest läuft es wieder ganz normal

Sorry Hyper Visor ist server 2012 R2 (hatte R2 vergessen) hm - komisch bei einer anderen virt. Maschine ist das Update problemlos durchgelaufen. (Management Konsole zeigt Integrationsdienste aktuell) bei der virt. Maschine wo der Netzweradapter nach dem Update nicht mehr geht, zeigt die Konsole überhaupt keine Integrationsdienste auf beiden virtuellen Maschinen läuft Server 2012 R2 als guest /EDIT Merkwürdig ...nach 15 min zeigte die Konsole plötzlich an dass die Integrationsdienste installiert/aktuell sind und die Netzwerkkarte geht auch wieder.

Hypervisor ist MS Server 2012 virtueller switch ist eingerichtet Guest Maschine ebenfalls Server 2012 R2 Integrationsdienste sind meines Wissen nach per default auf on. Ich denke die werden auch automatisch aktualisiert - oder?

Umgebung: Server 2012 R2, diverse virtuelle Maschinen (alle server 2012 r2) Nach dem letzen Microsoft Update (virtueller host) braucht die virtuelle Machine ewig lang bis sie hochfährt. Es stellte sich heraus, dass der virtuelle Netzwerkadapter nicht mehr funktioniert und ohne IP geht es halt nicht. Im Gerätemanger ist dann die Netzwerkkarte "gelb makiert" und es steht "neueren Treiber installieren" Es wird nur kein neuerer Treiber gefunden Irgendeine Idee?

hatte auch das Problem - schau mal beim IIS Manager ob certsrv überhaupt vorhanden ist. Ich gehe davon aus dass du "Certifiaction Authority Web Enrollment" installiert hast. Wenn die certserv im IIS Manager nicht angezeigt wird, kann man die certserv über IIS installieren (also unter windows\system32\certserv\de-DE findet man die dateien. Ich hatte mit google einen Beitrag gefunden wie man das dann macht. (war zwar für server 2016 ..hat aber bei meinem server 2012 auch funktioniert https://social.technet.microsoft.com/Forums/en-US/d7afbc4a-6a85-43e0-b1c8-a9fef4fa54b2/windows-server-2016-certsrv-not-created-and-missing?forum=winserverDS )

Danke, das war sicher hilfreich *ironieaus* ------------------- Zur INFO falls jemand auch das Problem hat. Nach nochmaligem deinstall und erneuten Install wurde genauso wie beim ersten Mal wieder Enterprise CA angezeigt und die Zertifikatsvorlagen waren dann anschliessend auch verfügbar. Somit konnte ich dann über MMC ein Zertifikat ausstellen. Die Ausstellung über die Webeite funktioniert jedoch immer noch nicht. Dazu habe ich mit google gefunden, dass dies anscheinend ein Fehler des Install Assistenten im Server 2012 ist und wie man das "per Hand" bereinigen kann. Also mit IIS Manager die "certserv" Seite aus windows/system32/cerserv importieren und entsprechend im IIS freischalten. Völlig unverständlich ist, dass nach mehrmaligen installieren die Zertifikatsvorlgen dann plötzlich doch vorhanden waren. Da ich schon diverse CA installiert habe, wo es jedesmal problemlos funktionierte schliesse ich einen "Installationsfehler" aus.

Wieso planlos? Wenn du planlos behauptest, dann solltest es auch begründen wieso. Noch besser wäre eine Hilfestellung, habe da aber bisher auch noch nichts lesen können. Es ist nicht die erste CA die ich installiere. Diesmal also Server 2012 mit aktuellen Updates, hat der Assistent irgendwas falsch gemacht. Klar war das ein Versuch die Zertifizierungstelle neu zu installieren. Für den Zweck wo ich diese benötige könnte das auch eine Standalone sein. Hilfestellung wäre z.b. was man bei Registrierungsrichtlinienserver eingeben muss oder wie man bei der lokalen CA die Richtlinien zuweist.

hatte Enterprise CA installiert ... da dies nicht funktioniert hatte, habe ich gerade die Zertifizierungstelle deinstalliert und nochmals neu installiert. Bei der Neuinstallation lässt der Assistent Enterprise nicht mehr zu, darum habe ich jetzt eine Standalone installiert habe jetzt in der MMC - Zertifikastvorlagen - Zertifizierungstelle (lokal) - Zertifikate -aktueller Benutzer

Vermutlich meintest du dass ich Zertifikate über MMC erstellen soll - richtig? Das geht auch nicht weil die Cert-Vorlagen fehlen bzw. vom Assistenten nicht installiert wurden. Ich denke irgendwas macht der Install Assistent von Server 2012 falsch oder?- daher die Aussage dass es nicht das aktuellste OS ist

Hallo, Proxy (TMG) gibt es. Es ist jedoch so, dass der Aufruf über http://localhost/certsrv erfolgt und somit der Proxy aussen vor ist. Habe im IIS Manager nachgeschaut und anscheinend wird bei Installieren der Rolle die Webseite überhaupt nicht zur verfügung gestellt. Ok unter Windows\system32\certsrv sind die Dateien vorhanden. Verstehe die Antwort nicht, es soll eine Zertifizierungsstelle eingerichtet werden und eigentlich erwartet man dass der Install Assistent das richtig macht. Da die Zertifikate nur für die Verschlüsselung von Dokumenten verwendet werden sollen, reicht ein selfsigned Cert völlig aus. Kann ja sein, dass server 2012 nicht das aktuellste OS ist - es gibt aber auch kleiner Firmen die nicht jedes OS Update mitmachen können.