Jump to content

Powershell Befehl 2x täglich Script.ps1


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Danke testperson!

So habe ich es auch interpretiert.

Klingt nach Kaspersky for Mailserver oder Acronis...

Das script wurde schon seit 20.11.2020 ausgeführt. Evtl. sogar schon vorher. Bin noch nicht weiter gekommen zu recherchieren.

 

Bevor ich in Paranoia verfalle, möchte ich Kaspersky, Acronis, Teamviewer, CertAssistant und Popcon ausschließen. Mehr läuft auf dem System nicht.

Bei einem anderen Exchange 2016-Server wird das Script in meinem User-Temp-Folder ausgeführt.

Weitere Auffälligkeiten sind nicht vorhanden. Auch die Tools bzgl. Exchange-Katastrophe zeigten keine Auffälligkeiten (bis auf Kaspersky-Archive kscdat.zip_0 und ...1)

Link zu diesem Kommentar
Zitat

Solange wie wir hier schon diskutieren hättest du die Maschine schön längst neu aufgesetzt und hättest kein schlechtes Gefühl mehr. 

Der Exchange wäre vielleicht schon wieder neu aufgesetzt. Aber im Active Directory bliebe das schlechte Gefühl weiterhin, solange ich nicht weiß wer der Auslöser des Scriptes war/ist.

 

Zitat

Die hatte ich auch im Verdacht, aber andererseits wofür sollte man das in den Anwendungen brauchen?

Backup (Acronis) und Virenscanner (Kaspersky)

 

PS: auch am 19.03.2020 (Eventlog Anfang) wurde das Script schon ausgeführt.

Link zu diesem Kommentar
vor 7 Minuten schrieb rt1970:

Wer sagt, das es Schadsoftware ist?

Wenn das schon seit einem Jahr läuft ist hier Paranoia berechtigt?

Wer sagt, dass (Exchange) Server erst seit dem 02.03 attackiert werden. ;) Es gab ja in den letzten Jahren "häufiger" Security Updates für die damals aktuellen CUs. ;-)

 

Du könntest bei den Herstellern auch Tickets aufmachen und nachhören, ob denen dieses Script bekannt vorkommt.

Link zu diesem Kommentar
vor 13 Minuten schrieb rt1970:

Wer sagt, das es Schadsoftware ist?

Wer sagt, daß es keine ist?

 

vor 13 Minuten schrieb rt1970:

Wenn das schon seit einem Jahr läuft ist hier Paranoia berechtigt?

Es gab schon Angriffe, die über Jahre unentdeckt geblieben sind. 

 

vor 13 Minuten schrieb rt1970:

Nein, ich kann den Kasper nicht deinstallieren und dann 1-2 Tage warten

Können kannst du schon, du willst es nicht. Und das kann ich teilweise sogar verstehen. 

 

vor 5 Minuten schrieb testperson:

Du könntest bei den Herstellern auch Tickets aufmachen und nachhören, ob denen dieses Script bekannt vorkommt.

Ich bin davon ausgegangen, daß die Anfragen an die Dritthersteller parallel von längst laufen. 

Link zu diesem Kommentar

Da hast Du auch wieder recht. Allerdings "brennt" dann jetzt nicht die Luft.

Ob man bei den Herstellern eine qualifizierte Antwort bekommt ala "erstellt ihr 2x täglich im Temp-Ordner eine script.ps1?" bekommt ist fragllich.

Man kann doch schon froh sein, wenn man überhaupt eine Antwort bekommt...

Ich werde jetzt ein Testsystem weitestgehend ohne Inet auf einer VM aufsetzen und schauen was passiert.

Hatte gehofft, dass mal jemand auf seinen Exchange mit ähnlicher Konstellation im Eventlog schauen könnte...

Link zu diesem Kommentar

Ja, das nehme ich an. Warum jetzt Paranoia schieben, wenn das Ding seit "Anfang der Aufzeichnung" läuft?

Zur Ursachenfindung trägt eine Neuinstallation nicht bei.

Nein. Keine externen Tools außer die oben gelisteten. Auch nicht Remote.

Sollte das tatsächlich eine Schadsoftware sein, könnte sich diese genauso im Active Directory eingenistet haben...

Link zu diesem Kommentar
7 minutes ago, rt1970 said:

Ja, das nehme ich an. Warum jetzt Paranoia schieben, wenn das Ding seit "Anfang der Aufzeichnung" läuft?

Je nachdem, was das Ding macht, hätte man von Anfang an "Paranoia" schieben sollen.

7 minutes ago, rt1970 said:

Zur Ursachenfindung trägt eine Neuinstallation nicht bei.

Alte Umgebung vom Netz nehmen. Ursachenforschung betreiben.

Paralell dazu eine neue, saubere Umgebung aufsetzen. Dann die Backups (alles nichts ausführbare) zurückspielen. Diese Umgebung dann mit aktuellen Möglichkeiten absichern.

8 minutes ago, rt1970 said:

Sollte das tatsächlich eine Schadsoftware sein, könnte sich diese genauso im Active Directory eingenistet haben...

Daher, wenn man nicht das Gegenteil belegen kann, gilt die ganze Umgebung als korrumpiert und gehört neu aufgesetzt.

 

Spätestens jetzt hat man Budget für ein Notfallkonzept verfügbar.

Link zu diesem Kommentar

Hallo zusammen,

 

die Themen in Thread drehen sich langsam im Kreis. Der TO wurde auf eine mögliche Kompromittierung und deren Lösungswege hingewiesen. Auch die Möglichkeit, dass andere Anwendungen schuld sein könnten. Deren Support wird ihm weiterhelfen können, falls gewünscht. Seine Einschätzung dazu ist auch bekannt.

 

Gibt es denn noch offene Fragen @rt1970, die wir Dir beantworten können?

 

Schöne Grüße

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...