MS Exchange 2013 поймали заразу на двух серверах

RSS
Здравствуйте.
Собственно снова вирусы на двух MS Exchange 2013. В скриншоте показал строку c бякой.
Файл WACS.EXE нормальный, используется для сертификатов ssl.
Помогите отыскать заразу.

Ответы

Цитата
santy написал:
возможно причина в этом:
ответ разработчика
такое бывает когда проблемы с BITS, но оно не вешается, а минут через 5-10 выдает ошибку и продолжает работу, лечится удалением базы bits  
Разобрался, Малвербайт виновник,  отключил и сразу запустился. Твик выполнил. Но странно на втором сервере такой же малвербайт стоит, и там дал запустится )))
Цитата
santy написал:
1. если скрипты очистки выполнили, те что были выше, надо смотреть есть ли что-то сейчас в WMI или нет.2. проверить - нет ли левых учетных записей, с которых может быть удаленное подключение3. если процесс майнера запускается - проверить, под какой учетной записью запускается процесс (возможно взломщики получили пароли)4. если будет включено отслеживание событий -  обязательно новой версией uVS 4.11.7   (твиком 39+перезагрузка системы)
1. Мне нужно снова отправить образ?
Цитата
Цитата
santy написал:
надо иметь ввиду след. сообщение от разработчика:Цитата(!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,   (!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки. т.е. образ нужно будеn сделать сразу после перезагрузки системы. и передать его для анализа.
Вот это не понял... Какие мои действия? Как я понял: Сейчас на двух серверах прибит\отключен майнер. Я уже запустил твик 39 с перезагрузкой сервера с отключённым майнером. Сейчас жду запуск майнера, когда он запускается я делаю образ автозапуска. Присылаю вам, и делаю твик 40 для отключения 39 твика, и что бы ГБ лога не росли дальше. Я правильно всё понял? Или вы это написали к тому что бы я 39 твик применил ближе к ночи, ближе по времени ДО запуску майнера?
2.Экчендж в наружу смотрит только для получения отправки почты, мобильных приложений, вэб доступ. Проброс портов минимальный. 587, 465, 443. ЛОКАЛЬНЫХ левых учетных записей нет, те что были локальные по умолчанию им сменили пароли. ДОМЕННЫХ учеток левых пытались найти, запуская скрипт повершела, левых СОЗДАНЫХ или ИЗМЕНЕНЫХ наших вроде как нет, но тут под вопросом.
3. Как я помню запускался из под СИСТЕМА, авторан или диспетчер задач показал так.
4.  Да, сделал АКТУАЛЬНОЙ.
не увидел сразу сообщение, так как попало на 3 лист.

1. да, нужен новый образ автозапуска после твика 39 и перезагрузки.

конечно, желательно, чтобы процесс запуска майнера попал сразу после перезагрузки

запись лога dns с включенным твиком 39 пойдет с момента новой загрузки системы.

за 30-5о минут непрерывной записи (после перезагрузки) лог  DNS займет порядка 500Мб, хорошо, если запуск майнера попадет в этот интервал,
тогда можно будет сделать образ автозапуска и затем отключить логгирование, чтобы файла лога не разрастался на системном диске.

2.
да, смотрел, что rundll32.exe запускается от имени системы
Цитата
NT AUTHORITY\СИСТЕМА
C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZ­YZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON
Цитата
Владимир Шариков написал:
Я уже запустил твик 39 с перезагрузкой сервера с отключённым майнером. Сейчас жду запуск майнера, когда он запускается я делаю образ автозапуска. Присылаю вам, и делаю твик 40 для отключения 39 твика, и что бы ГБ лога не росли дальше. Я правильно всё понял?
да , все верно,
главное, чтобы майнер запустился в это период, чтобы увидеть цепочки запуска
только для применения твика 40 (отключение отслеживания), опять же нужна перезагрузка системы
Владимир, еще пара вопросов:

1. есть какая то закономерность по времени запуска процесса с майнером?
судя по образу на сервере
Имя компьютера: IZTVMAIL01
время запуска было:
03:48:12 [2021.07.30]
2. майнер запускается повторно в течение суток  после закрытия процесса?
Цитата
santy написал:
Владимир, еще пара вопросов:

1. есть какая то закономерность по времени запуска процесса с майнером?
судя по образу на сервере
Имя компьютера: IZTVMAIL01
время запуска было:
03:48:12 [2021.07.30]
2. майнер запускается повторно в течение суток  после закрытия процесса?
Что я сделал, вчера сразу отключил твиком 40 анализ, т.к. обычно в ночь стартует майнер, не хотел ГБ места тратить. А так же хотел проверить сработало удаление WMI
Закономерности нет! И это пугает. Почти всегда в разное время, при чем не во все дни. С воскресения на понедельник уже вторая неделя не чего не запускается, но на этой недели (сегодня) так же не запустился, но возможно Ваш рецепт с WMI помог.
Сейчас хочу понаблюдать, если удаление WMI помогло или нет. Если нет, то Будем твиком 39 наблюдать.
А вообще нет какого то софта специализированно, который бы наблюдал за такими вещами?
ясно.

по этому серверу проверьте IZTVMAIL01

можно через auturuns+ образ автозапуска без отслеживания процессов, проверим секцию WMI что-то там появилось вновь или нет после очистки скриптом.

или самостоятельно проверьте
здесь
(то что здесь отмечено, было в пред образе, когда майнер запускался, и это мы все удалили скриптом)



по логированию DNS разработчик дал пояснение:
regt 40  - отключение твика 39 (без перезагрузки) очищает и урезает лог до 1 мегабайта, при этом запись в лог продолжается.
regt 40 & restart - отключает твик 39 (+перезагрузка) - полностью очищает лог, и запись после перезагрузки в лог не выполнятся.
Пусто.  
Снимок.JPG (127.96 КБ)
да, пусто в WMI, и чисто,
Цитата
Владимир Шариков написал:
А вообще нет какого то софта специализированно, который бы наблюдал за такими вещами?
SIEM системы, мониторить логи событий, системы обнаружения вторжений и т.п.
логи в uVS, autoruns - это уже постфактум действия, те после того, как злоумышленники закрепились в системе.
Второй день, и всё нормально... напишу как проблема снова появится. Если до следующего понедельника всё будет нормально, то думаю можно закрывать инцидент. Но я в любом случае отпишусь.
Читают тему (гостей: 1)