Jump to content

Powershell Befehl 2x täglich Script.ps1


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Danke testperson!

So habe ich es auch interpretiert.

Klingt nach Kaspersky for Mailserver oder Acronis...

Das script wurde schon seit 20.11.2020 ausgeführt. Evtl. sogar schon vorher. Bin noch nicht weiter gekommen zu recherchieren.

 

Bevor ich in Paranoia verfalle, möchte ich Kaspersky, Acronis, Teamviewer, CertAssistant und Popcon ausschließen. Mehr läuft auf dem System nicht.

Bei einem anderen Exchange 2016-Server wird das Script in meinem User-Temp-Folder ausgeführt.

Weitere Auffälligkeiten sind nicht vorhanden. Auch die Tools bzgl. Exchange-Katastrophe zeigten keine Auffälligkeiten (bis auf Kaspersky-Archive kscdat.zip_0 und ...1)

Link to comment

Solange wie wir hier schon diskutieren hättest du die Maschine schön längst neu aufgesetzt und hättest kein schlechtes Gefühl mehr. 

vor 23 Minuten schrieb rt1970:

Klingt nach Kaspersky for Mailserver oder Acronis...

Die hatte ich auch im Verdacht, aber andererseits wofür sollte man das in den Anwendungen brauchen?

Link to comment
Zitat

Solange wie wir hier schon diskutieren hättest du die Maschine schön längst neu aufgesetzt und hättest kein schlechtes Gefühl mehr. 

Der Exchange wäre vielleicht schon wieder neu aufgesetzt. Aber im Active Directory bliebe das schlechte Gefühl weiterhin, solange ich nicht weiß wer der Auslöser des Scriptes war/ist.

 

Zitat

Die hatte ich auch im Verdacht, aber andererseits wofür sollte man das in den Anwendungen brauchen?

Backup (Acronis) und Virenscanner (Kaspersky)

 

PS: auch am 19.03.2020 (Eventlog Anfang) wurde das Script schon ausgeführt.

Link to comment

 

vor 11 Minuten schrieb rt1970:

Aber im Active Directory bliebe das schlechte Gefühl weiterhin, solange ich nicht weiß wer der Auslöser des Scriptes war/ist.

Sollte das wirklich Schadsoftware sein, wie lange willst du noch warten?

 

Versuch doch Kaspersky zu deinstallieren und schau ob sich was ändert. 

Link to comment

Wer sagt, das es Schadsoftware ist?

Wenn das schon seit einem Jahr läuft ist hier Paranoia berechtigt?

Nein, ich kann den Kasper nicht deinstallieren und dann 1-2 Tage warten - bei der Masse an Viren die rein kommen wäre das eine Katastrophe.

Täglich 5-15 Mails mit .pdf.exe oder .iso.exe z.B.

Trotzdem Danke an Alle für Eure Hinweise!

Link to comment
vor 7 Minuten schrieb rt1970:

Wer sagt, das es Schadsoftware ist?

Wenn das schon seit einem Jahr läuft ist hier Paranoia berechtigt?

Wer sagt, dass (Exchange) Server erst seit dem 02.03 attackiert werden. ;) Es gab ja in den letzten Jahren "häufiger" Security Updates für die damals aktuellen CUs. ;-)

 

Du könntest bei den Herstellern auch Tickets aufmachen und nachhören, ob denen dieses Script bekannt vorkommt.

Link to comment
vor 13 Minuten schrieb rt1970:

Wer sagt, das es Schadsoftware ist?

Wer sagt, daß es keine ist?

 

vor 13 Minuten schrieb rt1970:

Wenn das schon seit einem Jahr läuft ist hier Paranoia berechtigt?

Es gab schon Angriffe, die über Jahre unentdeckt geblieben sind. 

 

vor 13 Minuten schrieb rt1970:

Nein, ich kann den Kasper nicht deinstallieren und dann 1-2 Tage warten

Können kannst du schon, du willst es nicht. Und das kann ich teilweise sogar verstehen. 

 

vor 5 Minuten schrieb testperson:

Du könntest bei den Herstellern auch Tickets aufmachen und nachhören, ob denen dieses Script bekannt vorkommt.

Ich bin davon ausgegangen, daß die Anfragen an die Dritthersteller parallel von längst laufen. 

Link to comment

Da hast Du auch wieder recht. Allerdings "brennt" dann jetzt nicht die Luft.

Ob man bei den Herstellern eine qualifizierte Antwort bekommt ala "erstellt ihr 2x täglich im Temp-Ordner eine script.ps1?" bekommt ist fragllich.

Man kann doch schon froh sein, wenn man überhaupt eine Antwort bekommt...

Ich werde jetzt ein Testsystem weitestgehend ohne Inet auf einer VM aufsetzen und schauen was passiert.

Hatte gehofft, dass mal jemand auf seinen Exchange mit ähnlicher Konstellation im Eventlog schauen könnte...

Link to comment

Ja, das nehme ich an. Warum jetzt Paranoia schieben, wenn das Ding seit "Anfang der Aufzeichnung" läuft?

Zur Ursachenfindung trägt eine Neuinstallation nicht bei.

Nein. Keine externen Tools außer die oben gelisteten. Auch nicht Remote.

Sollte das tatsächlich eine Schadsoftware sein, könnte sich diese genauso im Active Directory eingenistet haben...

Link to comment
7 minutes ago, rt1970 said:

Ja, das nehme ich an. Warum jetzt Paranoia schieben, wenn das Ding seit "Anfang der Aufzeichnung" läuft?

Je nachdem, was das Ding macht, hätte man von Anfang an "Paranoia" schieben sollen.

7 minutes ago, rt1970 said:

Zur Ursachenfindung trägt eine Neuinstallation nicht bei.

Alte Umgebung vom Netz nehmen. Ursachenforschung betreiben.

Paralell dazu eine neue, saubere Umgebung aufsetzen. Dann die Backups (alles nichts ausführbare) zurückspielen. Diese Umgebung dann mit aktuellen Möglichkeiten absichern.

8 minutes ago, rt1970 said:

Sollte das tatsächlich eine Schadsoftware sein, könnte sich diese genauso im Active Directory eingenistet haben...

Daher, wenn man nicht das Gegenteil belegen kann, gilt die ganze Umgebung als korrumpiert und gehört neu aufgesetzt.

 

Spätestens jetzt hat man Budget für ein Notfallkonzept verfügbar.

Link to comment

Hallo zusammen,

 

die Themen in Thread drehen sich langsam im Kreis. Der TO wurde auf eine mögliche Kompromittierung und deren Lösungswege hingewiesen. Auch die Möglichkeit, dass andere Anwendungen schuld sein könnten. Deren Support wird ihm weiterhelfen können, falls gewünscht. Seine Einschätzung dazu ist auch bekannt.

 

Gibt es denn noch offene Fragen @rt1970, die wir Dir beantworten können?

 

Schöne Grüße

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...