Форум esetnod32.ru [тема: запуск майнера на сервере с MS Exchange 2016] http://forum.esetnod32.ru Новое в теме запуск майнера на сервере с MS Exchange 2016 форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sat, 02 May 2026 08:07:35 +0300 запуск майнера на сервере с MS Exchange 2016 запуск майнера на сервере с MS Exchange 2016 в форуме Обнаружение вредоносного кода и ложные срабатывания.
[KB7855] Does ESET protect me from the Hafnium zero-day exploit in Microsoft Exchange?

https://support.eset.com/en/kb7855-does-eset-protect-me-from-hafnium
12.11.2021 17:34:41, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16599/message113324/ http://forum.esetnod32.ru/messages/forum6/topic16599/message113324/ Fri, 12 Nov 2021 17:34:41 +0300 Обнаружение вредоносного кода и ложные срабатывания запуск майнера на сервере с MS Exchange 2016 запуск майнера на сервере с MS Exchange 2016 в форуме Обнаружение вредоносного кода и ложные срабатывания.
по найденным файлам:
App_Web_logout.aspx.f5dba9b9.rlmjc4uk.dll
https://www.virustotal.com/gui/file/05447261bafc1159965e6fa448a28c90595c056fe620663­cecc48dcce61e18bb?nocache=1
_iisstart._aspx_
https://www.virustotal.com/gui/file/ebdd241f3aa2d900d0f6d51dc865466ba8f03fa99c202d4­36216cb770c691dff?nocache=1
_Logout._aspx_
https://www.virustotal.com/gui/file/c078a79f233f7d3784ae4d7f4a38f5ac4cd574af7c4d4ba­ffdc3e5d4a1c9cc0c?nocache=1
09.11.2021 15:54:25, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16599/message113309/ http://forum.esetnod32.ru/messages/forum6/topic16599/message113309/ Tue, 09 Nov 2021 15:54:25 +0300 Обнаружение вредоносного кода и ложные срабатывания запуск майнера на сервере с MS Exchange 2016 запуск майнера на сервере с MS Exchange 2016 в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Сергей Шустов написал:
таких в темпе нет. Посмотрю при запущенном майнере
=============

судя по образу, процесс короткий, не более минуты длился
09:36:07 [2021.11.07]
09:36:55 [2021.11.07]
процесс с майнингом
====code==== 
C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON
=============
запущен именно в этом интервале
09:36:23 [2021.11.07]
07.11.2021 18:18:08, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16599/message113272/ http://forum.esetnod32.ru/messages/forum6/topic16599/message113272/ Sun, 07 Nov 2021 18:18:08 +0300 Обнаружение вредоносного кода и ложные срабатывания запуск майнера на сервере с MS Exchange 2016 запуск майнера на сервере с MS Exchange 2016 в форуме Обнаружение вредоносного кода и ложные срабатывания.
C:\Windows\Temp\Rar.exe
C:\Windows\Temp\tmpVJSY.tmp
C:\Windows\Temp\tmpSCWT.tmp

таких в темпе нет. Посмотрю при запущенном майнере
07.11.2021 17:42:08, Сергей Шустов.]]> http://forum.esetnod32.ru/messages/forum6/topic16599/message113270/ http://forum.esetnod32.ru/messages/forum6/topic16599/message113270/ Sun, 07 Nov 2021 17:42:08 +0300 Обнаружение вредоносного кода и ложные срабатывания запуск майнера на сервере с MS Exchange 2016 запуск майнера на сервере с MS Exchange 2016 в форуме Обнаружение вредоносного кода и ложные срабатывания.
проверьте в папке C:\Windows\Temp есть указанные файлы?
C:\Windows\Temp\Rar.exe
C:\Windows\Temp\tmpVJSY.tmp
C:\Windows\Temp\tmpSCWT.tmp


====quote====
Полное имя                  C:\WINDOWS\TEMP\RAR.EXE
Имя файла                   RAR.EXE
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Инф. о файле                The system cannot find the file specified.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
pid = 8132                  NT AUTHORITY\SYSTEM
Процесс создан              09:36:07 [2021.11.07]
Процесс завершен            09:36:55 [2021.11.07]
CmdLine                     "C:\Windows\Temp\Rar.exe" C:\Windows\Temp\tmpVJSY.tmp C:\Windows\Temp\tmpSCWT.tmp
parentid = 12404            C:\WINDOWS\SYSTEM32\INETSRV\W3WP.EXE
=============

07.11.2021 17:12:56, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16599/message113269/ http://forum.esetnod32.ru/messages/forum6/topic16599/message113269/ Sun, 07 Nov 2021 17:12:56 +0300 Обнаружение вредоносного кода и ложные срабатывания запуск майнера на сервере с MS Exchange 2016 запуск майнера на сервере с MS Exchange 2016 в форуме Обнаружение вредоносного кода и ложные срабатывания.
Сергей, спасибо,
файлы получил, некоторое время необходимо для анализа. в этот раз все получилось. отслеживание включено,
странно, что образ выполнен не последней версией. (4.11.11), проверю. --- обновил до 4.11.12
07.11.2021 14:32:03, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16599/message113268/ http://forum.esetnod32.ru/messages/forum6/topic16599/message113268/ Sun, 07 Nov 2021 14:32:03 +0300 Обнаружение вредоносного кода и ложные срабатывания запуск майнера на сервере с MS Exchange 2016 запуск майнера на сервере с MS Exchange 2016 в форуме Обнаружение вредоносного кода и ложные срабатывания.
образ UVS (скачан по ссылке )
лог скрипта на почту отправил
делал проверку Malwarebytes, ничего не нашёл. Завтра касперского поставлю
07.11.2021 13:38:58, Сергей Шустов.]]> http://forum.esetnod32.ru/messages/forum6/topic16599/message113266/ http://forum.esetnod32.ru/messages/forum6/topic16599/message113266/ Sun, 07 Nov 2021 13:38:58 +0300 Обнаружение вредоносного кода и ложные срабатывания запуск майнера на сервере с MS Exchange 2016 запуск майнера на сервере с MS Exchange 2016 в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Сергей Шустов написал:
добрый день.
1. поднял версию до предпоследнего (июньского) кумулятива.
2.  образ UVS  
3. выполнил .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs , но, чтот ничего не произошло
=============

судя по образу версия обновилась.
Exchange Server 2016 CU21 29 июня 2021 г. 15.1.2308.8 15.01.2308.008

[FILE ID=120657]

рекомендуется так же установить все критические обновления для системы.

да, здесь есть запуск майнера

====quote====
C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZ­YZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON

192.168.90.52:46366 <-> 95.216.46.125:443


=============
но жаль,  что вы не обратили внимание на просьбу
а), сделать образ актуальной версией uVS 4.11.12
https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0
перед созданием образа необходимо чтобы были выполнены твики 39 и  41, которые включают отслеживание создаваемых процессов и задач, с момента загрузки системы+ отслеживание логов DNS с целью определить (процесс или задачу) источник запуска майнера.


====quote====
3. выполнил .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs , но, чтот ничего не произошло
=============
файл лога был создан в данной папке? вот он и нужен для анализа.
проверить локальный сервер и скопировать идентифицированные журналы и файлы в OutPath:
.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs -CollectFiles
-------------------------

>>>антивируса пока нет там
проверьте систему сканерами:
1. Microsoft Safety Scanner
https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download
2. Malwarebytes
https://forum.esetnod32.ru/forum9/topic10688/
3. добавьте лог ESETlogCollector
https://forum.esetnod32.ru/forum9/topic10671/


>>>майнер запускается в выходные раз в две недели....
майнер запустился уже после установки куммулятивного обновления?


что нужно сделать:
1. скачаь актуальную версию uVS 4.11.12 отсюда

2. выполнить скрипт в uVS с перезагрузкой системы, в удобное для вас время, накануне предполагаемого запуска майнера.

====code==== 
;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 39
regt 41
restart
=============
3. как только майнер запустится, создать образ автозапуска в uVS.
(uVS можно предварительно запустить, но образ создавать только после запуска процесса с майнером)

4. после создания образа автозапуска - процесс с майнером можно закрыть.

5. далее, уже анализируем (здесь) по образу, какая доп. информация попадет (по процессам, задачам, логам DNS)

06.11.2021 15:21:53, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16599/message113261/ http://forum.esetnod32.ru/messages/forum6/topic16599/message113261/ Sat, 06 Nov 2021 15:21:53 +0300 Обнаружение вредоносного кода и ложные срабатывания запуск майнера на сервере с MS Exchange 2016 запуск майнера на сервере с MS Exchange 2016 в форуме Обнаружение вредоносного кода и ложные срабатывания.
антивируса пока нет там
06.11.2021 12:10:32, Сергей Шустов.]]> http://forum.esetnod32.ru/messages/forum6/topic16599/message113260/ http://forum.esetnod32.ru/messages/forum6/topic16599/message113260/ Sat, 06 Nov 2021 12:10:32 +0300 Обнаружение вредоносного кода и ложные срабатывания запуск майнера на сервере с MS Exchange 2016 запуск майнера на сервере с MS Exchange 2016 в форуме Обнаружение вредоносного кода и ложные срабатывания.
добрый день.
1. поднял версию до предпоследнего (июньского) кумулятива.
2. образ UVS
3. выполнил .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs , но, чтот ничего не произошло
06.11.2021 12:09:38, Сергей Шустов.]]> http://forum.esetnod32.ru/messages/forum6/topic16599/message113259/ http://forum.esetnod32.ru/messages/forum6/topic16599/message113259/ Sat, 06 Nov 2021 12:09:38 +0300 Обнаружение вредоносного кода и ложные срабатывания запуск майнера на сервере с MS Exchange 2016 запуск майнера на сервере с MS Exchange 2016 в форуме Обнаружение вредоносного кода и ложные срабатывания.
1. по обновлениям Exchange проверили -установлены актуальные патчи?

2. выполните скрипт проверки на уязвимость Test-ProxyLogon.ps1 на наличие новых атак на сервер
https://github.com/microsoft/CSS-Exchange/releases/latest/download/Test-ProxyLogon.ps1

файл, который формирует скрипт в формате csv пришлите пожалуйста в почту safety@chklst.ru

3. 4. так же можно проверить наличие уязвимости из локальной сети используя nmap и спец скрипт,
Latest stable release self-installer: nmap-7.92-setup.exe
https://nmap.org/download.html
+ скрипт, добавить в каталог скриптов nse для nmap
https://github.com/microsoft/CSS-Exchange/releases/latest/download/http-vuln-cve2021-26855.nse


====quote====

-- @usage
-- nmap -p <port> --script http-vuln-cve2021-26855 <target>
--
-- @output
-- PORT STATE SERVICE
-- 443/tcp open https
-- | http-vuln-cve2021-26855:
-- | VULNERABLE
-- | Exchange Server SSRF Vulnerability
-- | State: VULNERABLE
-- | IDs: CVE:CVE-2021-26855
-- |
-- | Disclosure date: 2021-03-02
-- | References:
-- | http://aka.ms/exchangevulns
--
-- @args http-vuln-cve2021-26855.method The HTTP method for the request. The default method is "GET".
=============

4. есть ли антивирусная защита на данном сервере (судя по образу - не обнаружена), есть ли какие то логи или журналы, которые фиксируют запуск майнера?

5. ждем в гости майнер - если есть четкое расписание его запуска, и фиксируем его запуск с помощью uVS. скрипт, в таком случае, добавленный выше с обнаружением процессов и задач и логов DNS можно выполнить накануне "визита".
31.10.2021 02:50:53, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16599/message113229/ http://forum.esetnod32.ru/messages/forum6/topic16599/message113229/ Sun, 31 Oct 2021 02:50:53 +0300 Обнаружение вредоносного кода и ложные срабатывания запуск майнера на сервере с MS Exchange 2016 запуск майнера на сервере с MS Exchange 2016 в форуме Обнаружение вредоносного кода и ложные срабатывания.
майнер запускается в выходные раз в две недели....
30.10.2021 20:48:15, Сергей Шустов.]]> http://forum.esetnod32.ru/messages/forum6/topic16599/message113228/ http://forum.esetnod32.ru/messages/forum6/topic16599/message113228/ Sat, 30 Oct 2021 20:48:15 +0300 Обнаружение вредоносного кода и ложные срабатывания запуск майнера на сервере с MS Exchange 2016 запуск майнера на сервере с MS Exchange 2016 в форуме Обнаружение вредоносного кода и ложные срабатывания.
uVS v4.11.10 [http://dsrt.dyndns.org:8888]: Windows Server 2012 R2 Standard x64 (NT v6.3 SP0) build 9600  [C:\WINDOWS]
Microsoft Exchange Server 2016

проверьте, установлен ли у вас актуальный патч

====quote====
Exchange Server 2016
В таблице этого раздела приведены номера сборок и общие даты выпуска всех версий Microsoft Exchange Server 2016.
Exchange Server 2016
Название продукта Дата выпуска Номер сборки
(краткий формат) Номер сборки
(длинный формат)
  Exchange Server 2016 CU22 Oct21SU 12 октября 2021 г. 15.1.2375.12 15.01.2375.012

=============
https://docs.microsoft.com/ru-ru/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019
судя по образу uVS у вас может быть быть очень древний дистрибутив установлен.
Exchange Server 2016 RTM 1 октября 2015 г. 15.1.225.42 15.01.0225.042

1. пробуйте сделать образ автозапуска актуальной версией 4.11.12
скачать по ссылке:
https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0

2.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 39
regt 41
restart
=============
перезагрузка,
------------
далее, надо дождаться запуска майнера, если появляется после загрузки системы, и сделать образ автозапуска не закрывая процесс с майнером
как только образ будет создан, процесс майнера можно закрыть
30.10.2021 16:58:11, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16599/message113223/ http://forum.esetnod32.ru/messages/forum6/topic16599/message113223/ Sat, 30 Oct 2021 16:58:11 +0300 Обнаружение вредоносного кода и ложные срабатывания запуск майнера на сервере с MS Exchange 2016 запуск майнера на сервере с MS Exchange 2016 в форуме Обнаружение вредоносного кода и ложные срабатывания.
добрый день.
аналогичная проблема, запускается бяка на exchange. Нужна помощь. Ссылка на образ  
30.10.2021 13:38:11, Сергей Шустов.]]> http://forum.esetnod32.ru/messages/forum6/topic16599/message113222/ http://forum.esetnod32.ru/messages/forum6/topic16599/message113222/ Sat, 30 Oct 2021 13:38:11 +0300 Обнаружение вредоносного кода и ложные срабатывания