Здравствуйте. Собственно снова вирусы на двух MS Exchange 2013. В скриншоте показал строку c бякой. Файл WACS.EXE нормальный, используется для сертификатов ssl. Помогите отыскать заразу.
сделайте еще лог ESETlogCollector на IZTVMAIL01, может в журналах событий что-то будет на момент запуска 30.07 (надо было конечно пораньше запросить, вместе с образом автозапуска) https://forum.esetnod32.ru/forum9/topic10671/
santy написал: сделайте еще лог ESETlogCollector на IZTVMAIL01, может в журналах событий что-то будет на момент запуска 30.07(надо было конечно пораньше запросить, вместе с образом автозапуска) https://forum.esetnod32.ru/forum9/topic10671/
Сделал. Сегодня снова в ночь запустился майнер. Сегодня ночью\либо утром сделаю твик 39 + образ после перезагрузки от применения твика. А там будем надеяться что снова запустится майнер. Отпишусь.
можно новой версией UVS 4.11.8 включить только отслеживание процессов (только твик 39+перезагрузка) и дождаться запуска майнера. затем сделать образ автозапуска (с уже включенным отслеживанием) (+ можно добавить новые логи autoruns и Esetlogcollector)
лог DNS в новой версии вынесен отдельно. 4.11.8
Цитата
o Управление DNS логом вынесено в отдельные твики, #41 и #42. DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном. Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10, в последнем случае необходимо перезагрузить систему после 42 твика. (Win7 и ниже не поддерживается).
если не поможет отслеживание процессов, после можно будет еще и добавить логгирование DNS
В SPHVMAIL01 Есть: RemoteAdmin Полное имя C:\PROGRAM FILES (X86)\LITEMANAGER PRO - SERVER\ROMSERVER.EXE Имя файла ROMSERVER.EXE
Сохраненная информация на момент создания образа Статус ПРОВЕРЕННЫЙ File_Id 573EB6C862B000 Linker 2.25 Размер 5890016 байт Создан 20.05.2016 в 10:06:30 Изменен 20.05.2016 в 10:06:30
TimeStamp 20.05.2016 в 07:03:36 EntryPoint + OS Version 5.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Оригинальное имя ROMSERVER.EXE Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Действительна, подписано Yakhnovets Denis Aleksandrovich IP
Версия файла 4.7.2.0
Доп. информация на момент обновления списка SHA1 1D3A7A4B1A57192A9187D5901D38495B0F7888CB MD5 1A0C89DC5D3814C030DCAC5BD88349F9
Ссылки на объект SHORTCUT C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\LITEMANAGER PRO - SERVER\Settings for LM-Server.lnk SHORTCUT C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\LITEMANAGER PRO - SERVER\Start LM-Server.lnk SHORTCUT C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\LITEMANAGER PRO - SERVER\Stop LM-Server.lnk
DNS лог: 0 Отслеживание задач: 0 Отслеживание запуска процессов: 1 Отслеживание завершения процессов: 1
отслеживание задач - не поддерживается для данной системы, только отсл процессов+возможно лог DNS.
на первом сервере (Имя компьютера: IZTVMAIL01)
Цитата
pid=7260 NT AUTHORITY\СИСТЕМА 17:43:35 [2021.08.07] cmdline=C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON CPU 1013,99% parentid=13100 не определился, или был закрыт после запуска майнера. 192.168.24.26:38069 <-> 95.216.46.125:443
на втором сервере (Имя компьютера: SPHVMAIL01) запуск примерно в это же время.
отфильтровать процессы, которые были запущены в этом интервале - не найдено других процессов в данный промежуток времени (17:**:** [2021.08.07]. в WMI - чисто
в пред. образе от 30.07 NT AUTHORITY\СИСТЕМА C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON 03:48:12 [2021.07.30] 1001,31% 192.168.24.26:60064 <-> 95.216.46.125:443 /WHOIS: country: FI/ ----------------
итого: 1. запуск происх примерно в одно и тоже время на обоих серверах. 2. запуск майнера идентичный на обоих серверах 3. удаленный адрес подкл - один и тот же, повторяется при новых запусках.
4. нужны новые логи ESETlogCollector (с обоих серверов), чтобы выполнить поиск по журналам, есть ли инфо в журналах по процессу с pid=13100, pid=27320
5. думаю, стоит еще включить лог DNS (в нужный момент), пусть пишется по 512Мб - на производительности системы не должно сказываться, после 512 - пойдет перезапись файла лога,
Да. Установил на всякий случай, если вдруг удаленка по РДП будет пропадать (у нас при первой атаке так было).
Цитата
santy написал: 1. запуск происх примерно в одно и тоже время на обоих серверах.
я бы не сказал, 03:48:12 [2021.07.30] и 17:34:15 [2021.08.07]
Цитата
santy написал: 3. удаленный адрес подкл - один и тот же, повторяется при новых запусках.
Заблокировал на сетевом адресе подсеть 95.216.46.0
Цитата
santy написал: 5. думаю, стоит еще включить лог DNS (в нужный момент), пусть пишется по 512Мб - на производительности системы не должно сказываться, после 512 - пойдет перезапись файла лога,
Это самое сложное "В нужный момент". Я так понял что если перезаписывает лог каждый час, необходимо попасть(не спать) в этот час?
Я все же думаю что эксплойт запускается с "внешнего мира", т.е. есть какая то дыра, которая позволяет удаленно запускать на серваке заразу. Т.к. фаилы создаются самопроизвольно, под пользователем СИСТЕМА, и смысла нет искать на самом серваке. Если только с помощью чего запустили они этот процесс, но мы вроде как это выяснили. В идеале прикрыть 443 порт, но закрыть ну не как не реально. Сейчас заблокировал хетцнерскую сеть, понаблюдаю. Думаю поможет НА ВРЕМЯ. Но дыру как отыскать...
Владимир Шариков написал: santy написал:1. запуск происх примерно в одно и тоже время на обоих серверах.
я бы не сказал, 03:48:12 [2021.07.30] и 17:34:15 [2021.08.07]Цитата
нет, имел ввиду, что когда происходит запуск какой-то день, то запуске происходят примерно в одно и то же время на обоих серверах.
по 2021.07.30 у нас были логи только с одного сервера
а вот 2021.08.07 есть логи от обоих серверов, и здесь видно, что время запуска примерно одинаковое
17:34:15 [2021.08.07] на SPHVMAIL01 17:43:35 [2021.08.07] на IZTVMAIL01
с другой стороны, согласен, что четкого расписания по времени нет в разные дни
склоняюсь к версии, либо проникновение возможно в сеть, либо удаленный запуск через доступную уязвимость + имеет смысл проверить дату изменения паролей учетных записей (если не было изменений после взлома, то сменить пароли) --------- вот опять недавно пишут про новую обнаруженную уязвимость ProxyShell
ProxyShell - это название трех уязвимостей, которые при объединении в цепочку выполняют удаленное выполнение кода без проверки подлинности на серверах Microsoft Exchange.
Эти связанные уязвимости используются удаленно через службу клиентского доступа (CAS) Microsoft Exchange, работающую на порту 443 в IIS.
В атаках ProxyShell используются три связанных уязвимости:
CVE-2021-34473 - Pre-auth Path Confusion leads to ACL Bypass (исправлено в апреле KB5001779) CVE-2021-34523 - Повышение привилегий для серверной части Exchange PowerShell (исправлено в апреле, KB5001779) CVE-2021-31207 - Запись произвольного файла после авторизации приводит к RCE (исправлено в мае KB5003435)
если есть возможность, проверьте по журналам было ли вторжение в локальную сеть (проникновение или удаленное выполнение кода в данных интервалах времени 17:34:15 [2021.08.07] на SPHVMAIL01 17:43:35 [2021.08.07] на IZTVMAIL01
Цитата
Это самое сложное "В нужный момент". Я так понял что если перезаписывает лог каждый час, необходимо попасть(не спать) в этот час?
да, успеть создать образ автозапуска пока система не затерла в логах DNS нужные записи, связанные с запуском процесса. в принципе, можно создать скрипт с созданием образа автозапуска из uVS, который бы сработал на запуск майнера. автоматически сразу после обнаружения процесса запуска майнера. (важно, чтобы отслеживание на сервере было уже включено: и процессов и DNS) ну, собственно прописать в скрипте: "создать образ автозапуска" выгрузить процесс майнера после завершения создания образа автозапуска" и "отключить отслеживание".
или создать задачу, которая бы с определенной периодичностью запускала скрипт, скрипт сканирует список процессов если находит процесс с майнером, то запускает uVS на создание образа автозапуска, после завершения выгружает процесс майнера, закрывает отслеживание + отправляет сообщение на почту администратору.
важно определить сколько по времени займет однократный процесс сканирования, чтобы определить с какой периодичностью можно запускать задачу.
возможно, это адрес кошелька + pool.supportxmr.com:443
Apr 29 2021
Цитата
Exchange Server Vulnerability - Still Having Issues after all Patch and CU20 Updates
Hello everyone,
As per Microsoft Recommendations, we already installed all security patches earlier in the March and installed CU 20 updates. Here are the details about our issues. Any help on this will be appreciated:
Issue: High CPU utilization due to cmd.exe process
Exchange 2016 Standard
Work done so far: All patches installed, CU 20 installed, Performed multiple scan with Microsoft Safety Scanner, every time it finds and remove "Backdoor:MSIL/Chopper.F!dha " but next day same issue occurs
Opened CMD.exe file with process explorer today and found following scripts: