Jump to content

EOMT.ps1 DNS Server wechselt jede Stunde auf 8.8.8.8 und 9.9.9.9


Direkt zur Lösung Gelöst von magicpeter,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin,

ich habe vorgestern auf meinem Exchange 2013 CU23 Server das Microsoft Tool EOMT.ps1 benutzt.

Es wurden 2 Malware gefunden und entfernt.

 

Seit heute wechselt der DNS Server jede Stunde auf 8.8.8.8 und 9.9.9.9, dann ändere ich es wieder auf den eigentlich DNS-Server und nach einer Stunde sind wieder die beiden DNS-Server dort eingetragen.

 

Die IP-Adresse und der DNS sind natürlich fest vergeben bei dem Exchange Server.

 

Hat dieses Verhalten schon einmal jemand beobachtet nach dem Einsatz des Microsoft Tool EOMT.ps1?

Was würdet Ihr jetzt machen?

 

Link zu diesem Kommentar
vor 50 Minuten schrieb MurdocX:

Naja, um die Adressen zu ändern benötigt der Angreifer Admin-Berechtigung auf Domänen-Ebene. Er hatte also schon Zeit sich einzunisten. Für so etwas kenne ich keine Workarounds. ;-) 

 

vor 49 Minuten schrieb testperson:

Server ausschalten, ohne Netzwerk betreiben oder komplett vom Internet abschneiden. ;)

 

Erst mal danke für euere Rückmeldung.

 

Folgende Bedrohungen wurden gefunden und entfernt:

Backdoor:MSIL/Chopper.F!dha

Backdoor:MSIL/Chopper.M!dha

Exploit:ASP/CVE-2021-27065

Backdoor:ASP\Chopper.R!dha

Trojaner:Win32/Amynex.A

 

Ich habe jetzt folgendes gemacht

 

1. den Exchange Server noch einmal neugestartet

2. .\EOMT.ps1 noch mal laufen lassen

Ergebnis: 2 Bedrohungen gefunden und entfernt wurden

Backdoor:ASP\Chopper.R!dha

Trojaner:Win32/Amynex.A

3. Server neugestartet

4. .\EOMT.ps1 noch mal laufen lassen

Ergebnis: keine Bedrohung wurde gefunden

5. .\EOMT.ps1 -RunFullScan -DoNotRunMitigation gestartet

Ergebnis: steht nicht aus

6. Microsoft Safety Scanner für den Scan des ServerDC ausgeführt

Ergebnis: keine Bedrohung gefunden

 

Mal schaun wie es weiter geht.

Hat jemand noch eine Idee? ;) 

 

 

 

Link zu diesem Kommentar
3 minutes ago, magicpeter said:

Mal schaun wie es weiter geht.

Hat jemand noch eine Idee? ;)

Die willst du ja nicht hören. Aber ich wiederhole mich aus einem anderen Thread:


 

Quote

 

Alte Umgebung vom Netz nehmen. Ursachenforschung betreiben.

Paralell dazu eine neue, saubere Umgebung aufsetzen. Dann die Backups (alles nichts ausführbare) zurückspielen. Diese Umgebung dann mit aktuellen Möglichkeiten absichern.

 

Daher, wenn man nicht das Gegenteil belegen kann, gilt die ganze Umgebung als korrumpiert und gehört neu aufgesetzt.

 

Spätestens jetzt hat man Budget für ein Notfallkonzept verfügbar.

 

 

Link zu diesem Kommentar
vor 1 Minute schrieb Dukel:

Die willst du ja nicht hören. Aber ich wiederhole mich aus einem anderen Thread:


 

 

Danke Dunkel, ja das wäre die letzte Möglichkeit "NEUAUFSETZEN"

Aber vielleicht geht es ja auch einfacher und billiger. :grins2:

Mal schaun wo wir genau stehen und dann wird entschieden was geht und was nicht geht.

Nochmals Danke.

Link zu diesem Kommentar
vor 24 Minuten schrieb magicpeter:

Danke Dunkel, ja das wäre die letzte Möglichkeit "NEUAUFSETZEN"

Aber vielleicht geht es ja auch einfacher und billiger. :grins2:

Mal schaun wo wir genau stehen und dann wird entschieden was geht und was nicht geht.

Hallo Peter,

 

ich kann Dir genau sagen wie das abläuft. Das habe ich gerade hinter mir, bzw. ist man eigentlich nie wirklich fertig. Je nach Umgebung kann man mit ca. 1 Monat Vollzeit, oder mehreren Monaten mit Tagesgeschäft rechnen. Und ja, auch alle vorhanden Firmencomputer wurden neu installiert.

 

Nachtrag:

Nach einer Infektion wird die Geschäftsebene auf die Risiken und Auswirkungen deutlich hingewiesen. Ab dann ist es - meiner Meinung nach - nicht mehr die eigene Entscheidung. Hier geht es um reale Arbeitsplätze und die Existenz der Firma. Das sollte nicht auf die leichte Schulter genommen werden.

 

Schöne Grüße

bearbeitet von MurdocX
Link zu diesem Kommentar

Kurzes Update:
Nach weiterer Überprüfung des Exchange Server habe ich verdächtige Aufgaben im Aufgabenplaner gefunden und gelöscht.
Diese Aufgaben wurden teilweise alle 40 Minuten durchgeführt, was auch der Änderungszeit der DSN-Server-Einträge entspricht.

vor 16 Minuten schrieb MurdocX:

Hallo Peter,

 

ich kann Dir genau sagen wie das abläuft. Das habe ich gerade hinter mir, bzw. ist man eigentlich nie wirklich fertig. Je nach Umgebung kann man mit ca. 1 Monat Vollzeit, oder mehreren Monaten mit Tagesgeschäft rechnen. Und ja, auch alle vorhanden Firmencomputer wurden neu installiert.

 

Nachtrag:

Nach einer Infektion wird die Geschäftsebene auf die Risiken und Auswirkungen deutlich hingewiesen. Ab dann ist es - meiner Meinung nach - nicht mehr die eigene Entscheidung. Hier geht es um reale Arbeitsplätze und die Existenz der Firma. Das sollte nicht auf die leichte Schulter genommen werden.

 

Schöne Grüße

Das sehe ich genauso und werde die Geschäftsführung auch entsprechend informieren.
Danke für deinen Kommentar.

vor 6 Minuten schrieb testperson:

Vielleicht gibt die Datenschutzbehörde / Datenschutzaufsichtsbehörde des entsprechenden Landes ja eine Empfehlung zum "Was jetzt tun" an den Kunden(?) und dessen Kunden(?) ab? Die gefundenen Webshells gelten sicherlich als Kompromittierung und werden AFAIK von jeder der Behörden als "meldepflichtig" eingestuft.

Das denke ich auch und werde die Geschäftsführung und den Datenschutzbeauftragten informieren.

Danke dir...

Link zu diesem Kommentar
Am 19.3.2021 um 15:48 schrieb magicpeter:

Danke Dunkel, ja das wäre die letzte Möglichkeit "NEUAUFSETZEN"

Aber vielleicht geht es ja auch einfacher und billiger. :grins2:

Du wärst der erste, der "einfacher und billiger" erfolgreich umsetzt. Viel Glück damit, und wenn es klappt, wäre es ein prima Geschäftsmodell... Ich gehe nicht davon aus.

Du bist einer von denen, die mit dafür verantwortlich sind, daß sich Malware so leicht ausbreiten und so lange halten kann. jm2c

  • Like 2
  • Haha 1
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...