Размещено 30.10.2021 13:38:11
добрый день.
аналогичная проблема, запускается бяка на exchange. Нужна помощь.
аналогичная проблема, запускается бяка на exchange. Нужна помощь.
[ Закрыто ] запуск майнера на сервере с MS Exchange 2016
Размещено 30.10.2021 16:58:11
uVS v4.11.10 []: Windows Server 2012 R2 Standard x64 (NT v6.3 SP0) build 9600 [C:\WINDOWS]
Microsoft Exchange Server 2016
проверьте, установлен ли у вас актуальный патч
судя по образу uVS у вас может быть быть очень древний дистрибутив установлен.
Exchange Server 2016 RTM 1 октября 2015 г. 15.1.225.42 15.01.0225.042
1. пробуйте сделать образ автозапуска актуальной версией 4.11.12
скачать по ссылке:
2.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка,
------------
далее, надо дождаться запуска майнера, если появляется после загрузки системы, и сделать образ автозапуска не закрывая процесс с майнером
как только образ будет создан, процесс майнера можно закрыть
Microsoft Exchange Server 2016
проверьте, установлен ли у вас актуальный патч
| Цитата |
|---|
| Exchange Server 2016 В таблице этого раздела приведены номера сборок и общие даты выпуска всех версий Microsoft Exchange Server 2016. Exchange Server 2016 Название продукта Дата выпуска Номер сборки (краткий формат) Номер сборки (длинный формат) Exchange Server 2016 CU22 Oct21SU 12 октября 2021 г. 15.1.2375.12 15.01.2375.012 |
судя по образу uVS у вас может быть быть очень древний дистрибутив установлен.
Exchange Server 2016 RTM 1 октября 2015 г. 15.1.225.42 15.01.0225.042
1. пробуйте сделать образ автозапуска актуальной версией 4.11.12
скачать по ссылке:
2.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v4.11.12 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.3 v400c OFFSGNSAVE regt 39 regt 41 restart |
перезагрузка,
------------
далее, надо дождаться запуска майнера, если появляется после загрузки системы, и сделать образ автозапуска не закрывая процесс с майнером
как только образ будет создан, процесс майнера можно закрыть
Размещено 31.10.2021 02:50:53
1. по обновлениям Exchange проверили -установлены актуальные патчи?
2. выполните скрипт проверки на уязвимость Test-ProxyLogon.ps1 на наличие новых атак на сервер
файл, который формирует скрипт в формате csv пришлите пожалуйста в почту [email protected]
3. 4. так же можно проверить наличие уязвимости из локальной сети используя nmap и спец скрипт,
Latest stable release self-installer: nmap-7.92-setup.exe
+ скрипт, добавить в каталог скриптов nse для nmap
4. есть ли антивирусная защита на данном сервере (судя по образу - не обнаружена), есть ли какие то логи или журналы, которые фиксируют запуск майнера?
5. ждем в гости майнер - если есть четкое расписание его запуска, и фиксируем его запуск с помощью uVS. скрипт, в таком случае, добавленный выше с обнаружением процессов и задач и логов DNS можно выполнить накануне "визита".
2. выполните скрипт проверки на уязвимость Test-ProxyLogon.ps1 на наличие новых атак на сервер
файл, который формирует скрипт в формате csv пришлите пожалуйста в почту [email protected]
3. 4. так же можно проверить наличие уязвимости из локальной сети используя nmap и спец скрипт,
Latest stable release self-installer: nmap-7.92-setup.exe
+ скрипт, добавить в каталог скриптов nse для nmap
| Цитата |
|---|
-- @usage -- nmap -p <port> --script http-vuln-cve2021-26855 <target> -- -- @output -- PORT STATE SERVICE -- 443/tcp open https -- | http-vuln-cve2021-26855: -- | VULNERABLE -- | Exchange Server SSRF Vulnerability -- | State: VULNERABLE -- | IDs: CVE:CVE-2021-26855 -- | -- | Disclosure date: 2021-03-02 -- | References: -- | -- -- @args http-vuln-cve2021-26855.method The HTTP method for the request. The default method is "GET". |
4. есть ли антивирусная защита на данном сервере (судя по образу - не обнаружена), есть ли какие то логи или журналы, которые фиксируют запуск майнера?
5. ждем в гости майнер - если есть четкое расписание его запуска, и фиксируем его запуск с помощью uVS. скрипт, в таком случае, добавленный выше с обнаружением процессов и задач и логов DNS можно выполнить накануне "визита".
Размещено 06.11.2021 12:09:38
добрый день.
1. поднял версию до предпоследнего (июньского) кумулятива.
2.
3. выполнил .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs , но, чтот ничего не произошло
1. поднял версию до предпоследнего (июньского) кумулятива.
2.
3. выполнил .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs , но, чтот ничего не произошло
Размещено 06.11.2021 15:21:53
| Цитата |
|---|
| Сергей Шустов написал: добрый день. 1. поднял версию до предпоследнего (июньского) кумулятива. 2. 3. выполнил .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs , но, чтот ничего не произошло |
судя по образу версия обновилась.
Exchange Server 2016 CU21 29 июня 2021 г. 15.1.2308.8 15.01.2308.008
рекомендуется так же установить все критические обновления для системы.
да, здесь есть запуск майнера
| Цитата |
|---|
| C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZ 192.168.90.52:46366 <-> 95.216.46.125:443 |
а), сделать образ актуальной версией uVS 4.11.12
перед созданием образа необходимо чтобы были выполнены твики 39 и 41, которые включают отслеживание создаваемых процессов и задач, с момента загрузки системы+ отслеживание логов DNS с целью определить (процесс или задачу) источник запуска майнера.
| Цитата |
|---|
| 3. выполнил .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs , но, чтот ничего не произошло |
проверить локальный сервер и скопировать идентифицированные журналы и файлы в OutPath:
.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs -CollectFiles
-------------------------
>>>антивируса пока нет там
проверьте систему сканерами:
1. Microsoft Safety Scanner
2. Malwarebytes
3. добавьте лог ESETlogCollector
>>>майнер запускается в выходные раз в две недели....
майнер запустился уже после установки куммулятивного обновления?
что нужно сделать:
1. скачаь актуальную версию uVS 4.11.12
2. выполнить скрипт в uVS с перезагрузкой системы, в удобное для вас время, накануне предполагаемого запуска майнера.
| Код |
|---|
;uVS v4.11.12 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.3 v400c OFFSGNSAVE regt 39 regt 41 restart |
3. как только майнер запустится, создать образ автозапуска в uVS.
(uVS можно предварительно запустить, но образ создавать только после запуска процесса с майнером)
4. после создания образа автозапуска - процесс с майнером можно закрыть.
5. далее, уже анализируем (здесь) по образу, какая доп. информация попадет (по процессам, задачам, логам DNS)
Размещено 07.11.2021 13:38:58
(скачан по ссылке )
лог скрипта на почту отправил
делал проверку Malwarebytes, ничего не нашёл. Завтра касперского поставлю
лог скрипта на почту отправил
делал проверку Malwarebytes, ничего не нашёл. Завтра касперского поставлю
Размещено 07.11.2021 14:32:03
Сергей, спасибо,
файлы получил, некоторое время необходимо для анализа. в этот раз все получилось. отслеживание включено,
странно, что образ выполнен не последней версией. (4.11.11), проверю. --- обновил до 4.11.12
файлы получил, некоторое время необходимо для анализа. в этот раз все получилось. отслеживание включено,
странно, что образ выполнен не последней версией. (4.11.11), проверю. --- обновил до 4.11.12
Размещено 07.11.2021 17:12:56
проверьте в папке C:\Windows\Temp есть указанные файлы?
C:\Windows\Temp\Rar.exe
C:\Windows\Temp\tmpVJSY.tmp
C:\Windows\Temp\tmpSCWT.tmp
C:\Windows\Temp\Rar.exe
C:\Windows\Temp\tmpVJSY.tmp
C:\Windows\Temp\tmpSCWT.tmp
| Цитата |
|---|
| Полное имя C:\WINDOWS\TEMP\RAR.EXE Имя файла RAR.EXE Тек. статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную] Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную] Инф. о файле The system cannot find the file specified. Цифр. подпись проверка не производилась Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов Доп. информация на момент обновления списка pid = 8132 NT AUTHORITY\SYSTEM Процесс создан 09:36:07 [2021.11.07] Процесс завершен 09:36:55 [2021.11.07] CmdLine "C:\Windows\Temp\Rar.exe" C:\Windows\Temp\tmpVJSY.tmp C:\Windows\Temp\tmpSCWT.tmp parentid = 12404 C:\WINDOWS\SYSTEM32\INETSRV\W3WP.EXE |
Читают тему