testperson 1.677 Geschrieben 18. März 2021 Melden Teilen Geschrieben 18. März 2021 Auf die Schnelle überflogen, werden alle öffentlichen Ordner abgegrast und samt den User mit dem Recht "DeleteAllItems, EditAllItems, ReadItems und FolderVisible" in eine Datei geschrieben. Zitieren Link zu diesem Kommentar
rt1970 10 Geschrieben 18. März 2021 Autor Melden Teilen Geschrieben 18. März 2021 Danke testperson! So habe ich es auch interpretiert. Klingt nach Kaspersky for Mailserver oder Acronis... Das script wurde schon seit 20.11.2020 ausgeführt. Evtl. sogar schon vorher. Bin noch nicht weiter gekommen zu recherchieren. Bevor ich in Paranoia verfalle, möchte ich Kaspersky, Acronis, Teamviewer, CertAssistant und Popcon ausschließen. Mehr läuft auf dem System nicht. Bei einem anderen Exchange 2016-Server wird das Script in meinem User-Temp-Folder ausgeführt. Weitere Auffälligkeiten sind nicht vorhanden. Auch die Tools bzgl. Exchange-Katastrophe zeigten keine Auffälligkeiten (bis auf Kaspersky-Archive kscdat.zip_0 und ...1) Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 18. März 2021 Melden Teilen Geschrieben 18. März 2021 Solange wie wir hier schon diskutieren hättest du die Maschine schön längst neu aufgesetzt und hättest kein schlechtes Gefühl mehr. vor 23 Minuten schrieb rt1970: Klingt nach Kaspersky for Mailserver oder Acronis... Die hatte ich auch im Verdacht, aber andererseits wofür sollte man das in den Anwendungen brauchen? Zitieren Link zu diesem Kommentar
rt1970 10 Geschrieben 18. März 2021 Autor Melden Teilen Geschrieben 18. März 2021 Zitat Solange wie wir hier schon diskutieren hättest du die Maschine schön längst neu aufgesetzt und hättest kein schlechtes Gefühl mehr. Der Exchange wäre vielleicht schon wieder neu aufgesetzt. Aber im Active Directory bliebe das schlechte Gefühl weiterhin, solange ich nicht weiß wer der Auslöser des Scriptes war/ist. Zitat Die hatte ich auch im Verdacht, aber andererseits wofür sollte man das in den Anwendungen brauchen? Backup (Acronis) und Virenscanner (Kaspersky) PS: auch am 19.03.2020 (Eventlog Anfang) wurde das Script schon ausgeführt. Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 18. März 2021 Melden Teilen Geschrieben 18. März 2021 vor 11 Minuten schrieb rt1970: Aber im Active Directory bliebe das schlechte Gefühl weiterhin, solange ich nicht weiß wer der Auslöser des Scriptes war/ist. Sollte das wirklich Schadsoftware sein, wie lange willst du noch warten? Versuch doch Kaspersky zu deinstallieren und schau ob sich was ändert. Zitieren Link zu diesem Kommentar
rt1970 10 Geschrieben 18. März 2021 Autor Melden Teilen Geschrieben 18. März 2021 Wer sagt, das es Schadsoftware ist? Wenn das schon seit einem Jahr läuft ist hier Paranoia berechtigt? Nein, ich kann den Kasper nicht deinstallieren und dann 1-2 Tage warten - bei der Masse an Viren die rein kommen wäre das eine Katastrophe. Täglich 5-15 Mails mit .pdf.exe oder .iso.exe z.B. Trotzdem Danke an Alle für Eure Hinweise! Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 18. März 2021 Melden Teilen Geschrieben 18. März 2021 vor 7 Minuten schrieb rt1970: Wer sagt, das es Schadsoftware ist? Wenn das schon seit einem Jahr läuft ist hier Paranoia berechtigt? Wer sagt, dass (Exchange) Server erst seit dem 02.03 attackiert werden. ;) Es gab ja in den letzten Jahren "häufiger" Security Updates für die damals aktuellen CUs. Du könntest bei den Herstellern auch Tickets aufmachen und nachhören, ob denen dieses Script bekannt vorkommt. Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 18. März 2021 Melden Teilen Geschrieben 18. März 2021 vor 13 Minuten schrieb rt1970: Wer sagt, das es Schadsoftware ist? Wer sagt, daß es keine ist? vor 13 Minuten schrieb rt1970: Wenn das schon seit einem Jahr läuft ist hier Paranoia berechtigt? Es gab schon Angriffe, die über Jahre unentdeckt geblieben sind. vor 13 Minuten schrieb rt1970: Nein, ich kann den Kasper nicht deinstallieren und dann 1-2 Tage warten Können kannst du schon, du willst es nicht. Und das kann ich teilweise sogar verstehen. vor 5 Minuten schrieb testperson: Du könntest bei den Herstellern auch Tickets aufmachen und nachhören, ob denen dieses Script bekannt vorkommt. Ich bin davon ausgegangen, daß die Anfragen an die Dritthersteller parallel von längst laufen. Zitieren Link zu diesem Kommentar
rt1970 10 Geschrieben 18. März 2021 Autor Melden Teilen Geschrieben 18. März 2021 Da hast Du auch wieder recht. Allerdings "brennt" dann jetzt nicht die Luft. Ob man bei den Herstellern eine qualifizierte Antwort bekommt ala "erstellt ihr 2x täglich im Temp-Ordner eine script.ps1?" bekommt ist fragllich. Man kann doch schon froh sein, wenn man überhaupt eine Antwort bekommt... Ich werde jetzt ein Testsystem weitestgehend ohne Inet auf einer VM aufsetzen und schauen was passiert. Hatte gehofft, dass mal jemand auf seinen Exchange mit ähnlicher Konstellation im Eventlog schauen könnte... Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 18. März 2021 Melden Teilen Geschrieben 18. März 2021 vor 2 Minuten schrieb rt1970: Da hast Du auch wieder recht. Allerdings "brennt" dann jetzt nicht die Luft. Das nimmst du an. Ich nutze keinen Kaspersky, keinen Popcon und habe einen Proxy vor dem Exchange. Hast du evtl. ein Exchange Audittool am Laufen (gehabt)? Zitieren Link zu diesem Kommentar
rt1970 10 Geschrieben 18. März 2021 Autor Melden Teilen Geschrieben 18. März 2021 Ja, das nehme ich an. Warum jetzt Paranoia schieben, wenn das Ding seit "Anfang der Aufzeichnung" läuft? Zur Ursachenfindung trägt eine Neuinstallation nicht bei. Nein. Keine externen Tools außer die oben gelisteten. Auch nicht Remote. Sollte das tatsächlich eine Schadsoftware sein, könnte sich diese genauso im Active Directory eingenistet haben... Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 18. März 2021 Melden Teilen Geschrieben 18. März 2021 7 minutes ago, rt1970 said: Ja, das nehme ich an. Warum jetzt Paranoia schieben, wenn das Ding seit "Anfang der Aufzeichnung" läuft? Je nachdem, was das Ding macht, hätte man von Anfang an "Paranoia" schieben sollen. 7 minutes ago, rt1970 said: Zur Ursachenfindung trägt eine Neuinstallation nicht bei. Alte Umgebung vom Netz nehmen. Ursachenforschung betreiben. Paralell dazu eine neue, saubere Umgebung aufsetzen. Dann die Backups (alles nichts ausführbare) zurückspielen. Diese Umgebung dann mit aktuellen Möglichkeiten absichern. 8 minutes ago, rt1970 said: Sollte das tatsächlich eine Schadsoftware sein, könnte sich diese genauso im Active Directory eingenistet haben... Daher, wenn man nicht das Gegenteil belegen kann, gilt die ganze Umgebung als korrumpiert und gehört neu aufgesetzt. Spätestens jetzt hat man Budget für ein Notfallkonzept verfügbar. Zitieren Link zu diesem Kommentar
MurdocX 951 Geschrieben 18. März 2021 Melden Teilen Geschrieben 18. März 2021 Hallo zusammen, die Themen in Thread drehen sich langsam im Kreis. Der TO wurde auf eine mögliche Kompromittierung und deren Lösungswege hingewiesen. Auch die Möglichkeit, dass andere Anwendungen schuld sein könnten. Deren Support wird ihm weiterhelfen können, falls gewünscht. Seine Einschätzung dazu ist auch bekannt. Gibt es denn noch offene Fragen @rt1970, die wir Dir beantworten können? Schöne Grüße Zitieren Link zu diesem Kommentar
rt1970 10 Geschrieben 18. März 2021 Autor Melden Teilen Geschrieben 18. März 2021 @MurdocX ich denke auch, dass sich das im Kreis dreht. Alle Hinweise wurden gegeben. Weitere Fragen? Nein. Erst einmal nicht. Danke! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.