magicpeter

Genau so ist es....

Danke dir.

Hättest du da jemanden den du mir empfehlen könntest? Aktueller Statusbericht der eingeleitet Aktionen: Einspielen der MS Sicherheitsupdates - KB5000871 Überprüfung ob Angriff stattgefunden hat - Test-ProxyLogon.ps1 Isolierung Ihres Exchange Servers - Ports auf der Firewall geschlossen Anwendung des MS Tool - Exchange On-Premises Minderungstool (EOMT) Automatische Scripte erstellt - DNS-Updater, MS Safety Scanner, Malware Deleter Informationsschreiben erstellt und an alle betroffenen Kunden verschickt Systemüberprüfung auf Hacker & Malware - Thor Lite Scanner Monitoring-Tool installiert und system überwacht - Sysmon Überprüfung Active Directory - Benutzerberechtigung und - Änderung - repadmin Server mit Virus Removal Tool prüfen und bereinigen - Sophos Removal Tool VM mit Recovery Tool überprüft und bereinigt E-Mail Informationsspeicher auf Bedrohung überprüft Passwörter im Active Directory geändert Tägliche Überprüfung der Server auf weitere Bedrohung Weltweite permanente Recherche - Internet, Foren, Expertengruppen, Herstellerseiten, Kollegen, News Auswertung, Fachgespräche Hat jemand sonst noch eine Idee was man noch tun könnte? Danke euch.

Moin daabm, danke für den Tip "repadmin". Ich habe mir jetzt einmal die Veränderungen angeschaut. Das sieht für mich aber völlig normal aus oder? Die meisten Werte sind sehr alt und resultieren aus der Erstellung des Objects. Die einzig aktuellen Werte aus diesem Jahr sind: msExchBlockedSendersHash = Dieses Attribut speichert den Hash der Auflistung Liste sicherer Absender für den Benutzer. lastLogonTimestamp = Das Active Directory Attribut lastLogonTimestamp zeigt den exakten Zeitpunkt, an dem sich der Benutzer das letzte Mal erfolgreich in der Domäne authentisiert hat. Das sieht für mich jetzt nicht wie ein Hackerangriff aus. Zumindest bei diesem AD Object. Ich habe da einmal einen kleinen Screenshot gemacht. Sehr ihr da etwa auffälliges?

Moin, ich arbeite auch noch auf auf ein paar Servern und PCs gegen den Mist an Danke für deinen Kommentar und den Input. Hat der Sophos virus removal etwas bei dir gefunden?

Von so bösen Rootkits habe ich schon gehört. Ich habe jetzt noch mal alle Rechner (einer) und Server (drei) mit MSERT und Malewarebytes überprüft. Kein einziger Fund. Ich weiss das muss nix heißen. Keine besonderen Vorkommnisse und auch sonst keine Hinweise für einen Befall außer das AD Attribut "whenChanged" mit relativ aktuellen Datumswerten. So jetzt werde ich noch mal den Thor Lite über die Server und PCs jagen und dann mal schauen. Erst mal Danke. Ahja, hatte jemand von euch denn schon mal den Hafnium Spaß in seinem Netzwerk?

Auch dir Danke ich tesso für einen Kommentar, das habe ich auch schon gefunden, aber mehr rückt Google dazu leider nicht raus. Das sagt natürlich alles und nix..

Ja, danke. ich bin schon dabei den einzigen Client Windows 10 zu überprüfen. Alle andren clients sind Apple Clients.

Sehr komisch, auf dem Server war und ist keine Malware drauf. Laut .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs und MSERT.exe ist nichts auf den beiden Servern drauf. Sie verhalten sich auf völlig normal. Darum wundert mich das mit dem Datum bei den Benutzern schon sehr. Bei welchen Aktionen wird denn das AD Attribut "whenChanged" genau gesetzt?

Schei..... ich geht kaputt..... Hilfeeeeeeee

Was kann das zum Beispiel sein? Klar Passwort. Aber, wenn alle Benutzer plötzlich in dem Feld ein Datum aus diesem Monat haben verstehe ich das nicht so ganz.

Was bedeutet das Attribut "whenChanged" bei einem Benutzer genau? Wird diese Feld mit dem Datum der letzen Netzwerkanmeldung gesetzt oder nur beim Passwort ändern? Oder sonst noch wodurch... Kann an mit das einmal jemand erklären. Danke

Danke dir, aber die wichtige Frage ist ja wie stelle ich denn sicher das sich der neue Exchange nicht mit der gleichen Malware infiziert? Dann war der ganze Spaß für umsonst.

Ja, ok und wie kriegst du E-Mails von dem infizierten Exchange auf den neue Exchange ohne den zu infizieren?

Danke euch für die infos und den Link.

Moin, ich habe heute eine verdächtige Aufgabe im Aufgabenplaner eines Exchange 2013 CU23 gefunden. Aufgabenplaner Name der Aufgabe: vCZkNJFgm Programm/Script: Powershell Argumente hinzufügen: -c PS_CMD Ich habe die Aufgabe erst mal deaktiviert. Ahja und die Aufgabe sollte jede Stunde ausgeführt werden. Was macht diese Aufgabe? Was ist das für ein Programm -c PS_CMD ? Danke

Danke, das ist aber keine echt HILFE. Schön wäre wenn du sagen würdest wie du die Sache lösen würdest.

OK, wie würdest du denn vorgehen, wenn es dein Kunde wäre?

Ja, die anderen Server wurden auch schon überprüft. Kein Befall. Das habe ich dem Kunden auch schon gesagt. Aber, du kennst ja die Kunden.

0. Bedrohung Überprüft mit 0.1 Test-ProxyLogon.ps1 überprüft 0.2 Exchange On-Premises Minderungstool (EOMT) 1. Kunden informiert mit einen detaillierten Schreiben 2. Interims Maßnahmen um das System am laufen zu halten, da der Kunde das so wollte 3. Scripte erstellt zu Automatisierung 3.1 DNS-Server zurücksetzen auf Original DNS Server 3.2 MS Virenscanner alle 15 Minuten laufen lassen 3.3 Malwaredateien alle 5 Minuten im Windows Temp Ordner löschen 3.4 Malware Prozess im Taskmanager löschen 4. Server mit Thor Lite Scanner überprüft und ausgewertet 5. Hafnium - Bereinigungsstrategie entwickelt Wie schaut es bei euch aus? Hat auch jemand die Hafnium Bedrohung auf seinen Servern und wie geht Ihr damit um?

Ja, das habe ich auch schon rausgefunden.

Moin, folgende Dateien werden immer wieder in das Windows Temp Verzeichnis geladen und dann ausgeführt. knil.exe m6.bin n6.bin.ori m6.bin.exe Sind die euch Schin einmal untergekommen?

Kurzes Update: Nach weiterer Überprüfung des Exchange Server habe ich verdächtige Aufgaben im Aufgabenplaner gefunden und gelöscht. Diese Aufgaben wurden teilweise alle 40 Minuten durchgeführt, was auch der Änderungszeit der DSN-Server-Einträge entspricht. Das sehe ich genauso und werde die Geschäftsführung auch entsprechend informieren. Danke für deinen Kommentar. Das denke ich auch und werde die Geschäftsführung und den Datenschutzbeauftragten informieren. Danke dir...

Danke Dunkel, ja das wäre die letzte Möglichkeit "NEUAUFSETZEN" Aber vielleicht geht es ja auch einfacher und billiger. Mal schaun wo wir genau stehen und dann wird entschieden was geht und was nicht geht. Nochmals Danke.

Erst mal danke für euere Rückmeldung. Folgende Bedrohungen wurden gefunden und entfernt: Backdoor:MSIL/Chopper.F!dha Backdoor:MSIL/Chopper.M!dha Exploit:ASP/CVE-2021-27065 Backdoor:ASP\Chopper.R!dha Trojaner:Win32/Amynex.A Ich habe jetzt folgendes gemacht 1. den Exchange Server noch einmal neugestartet 2. .\EOMT.ps1 noch mal laufen lassen Ergebnis: 2 Bedrohungen gefunden und entfernt wurden Backdoor:ASP\Chopper.R!dha Trojaner:Win32/Amynex.A 3. Server neugestartet 4. .\EOMT.ps1 noch mal laufen lassen Ergebnis: keine Bedrohung wurde gefunden 5. .\EOMT.ps1 -RunFullScan -DoNotRunMitigation gestartet Ergebnis: steht nicht aus 6. Microsoft Safety Scanner für den Scan des ServerDC ausgeführt Ergebnis: keine Bedrohung gefunden Mal schaun wie es weiter geht. Hat jemand noch eine Idee? ;)