На сервере Exchange 2016 подозрительные объекты

StaDen

Почетный гость
Добрый вечер
прошу помощи оценить угрозу на Сервере Exchange 2016

Дефенндер поместил в карантин 7 объектов, привожу ниже

Полное сканирование вирусов не обнаружило.



1Категория: Лазейка М: Backdccr:MSIL Chcpper.F!dha

file:C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\e22c2559\92c7e946\App_Web_30hpykx1.dll
file:C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\e22c2559\92c7e946\App_Web_hfghhvuw.dll

2Категория: Подозрительное поведение Behavior:Win32/SuspExchgSession.E

file:\\localhost\c$\inetpub\wwwroot\aspnet_client\arsfyojuubbmzwyd.aspx
internalbehavior:1F0DA52ABAD274235F698F1B5AD8E3E6

3Категория: Троян Trojan:Win32/Wacatac.B!ml

file:C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\e22c2559\92c7e946\App_Web_i32jeqe3.dll

4Категория: Подозрительное поведение Behavior:Win32/SuspExchgSession.E

file:\\MAIL\C$\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\TNGBFMM.aspx
internalbehavior:0B0C88877AE5BBDEC11EF68904CDE36E

5Категория: Подозрительное поведение Behavior:Win32/SuspExchgSession.E

file:\\127.0.0.1\C$\inetpub\wwwroot\aspnet_client\253283293.aspx
internalbehavior:390FF6E984E55B954E38B8F75B36299D

6Категория: Троян Trojan:Win32/Sabsik.FL.B!ml

file:C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\e22c2559\92c7e946\App_Web_i32jeqe3.dll

7Категория: Средство эксплуатации уязвимостей Exploit:Win32/CVE-2017-11882!ml

file:C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\data\Temp\UnifiedContent\8666b81c-bdba-47a5-9ff1-7214a7fc96f7
 
Последнее редактирование:

Surf_rider

Администратор
Команда форума
Написано же явно что там сифилис сидит
Trojan:Win32/Wacatac.B!ml
 

Surf_rider

Администратор
Команда форума
Касперский спасет мир. После того как пролечите проверьте целостность системы
 

Vadim

Случайный прохожий
Backdccr:MSIL Chcpper.F!dha
Win32/SuspExchgSession.E
Trojan:Win32/Wacatac.B!ml
Trojan:Win32/Sabsik.FL.B!ml
Exploit:Win32/CVE-2017-11882!ml

Ну вы даете...
Проверьтесь антивирусником. Поставьте CU на Exchange. Можете точно сказать какая версия Exchange?
Дайте вывод
get-exchangeserver fl name,edition,admindisplayversion
 

GoodWIN

Активный участник

StaDen

Почетный гость
Касперский спасет мир. После того как пролечите проверьте целостность системы
Сделал частичную проверку (системную память и объекты автозагрузки, загр. сектора) с помощью утилиты Kaspersky Virus Removal Tool – ничего не обнаружено
Ну вы даете...
Проверьтесь антивирусником. Поставьте CU на Exchange. Можете точно сказать какая версия Exchange?
Дайте вывод
get-exchangeserver fl name,edition,admindisplayversion
Сам в шоке, честно говоря лишний раз боялся трогать exchange, так как он развернут на старом железе… Сейчас планирую переезд на новое железо, пока ещё не знаю, как это правильно сделать…

get-exchangeserver | fl edition,admindisplayversion

Edition : Standard
AdminDisplayVersion : Version 15.1 (Build 1531.3) - CU10

Да вижу уже CU21 вышел:rolleyes:
 
Последнее редактирование модератором:

awocose

Случайный прохожий
можно уж тогда на Exchange server 2019 прыгать, но только с Exchange 2016+CU 13 по-моему минимум, могу ошибаться.
 
Верх