Leider sind wir Opfer eine OWA Attacke geworden. Dies wurde gestoppt und soweit bereinigt. Der Exchange wurde entsprechend abgesichert. MSERT Tool + Security Update Exchange2016-KB5000871-x64-de + EOMT Script sind erfolgreich durchgelaufen und haben auch nichts mehr gemeldet. Das einzige, was sich nun jede Stunde meldet ist der ESET Webfilter, der 3 Websites jeden Stunden sperrt und das macht mir noch sorgen. Ich weiss einfach nicht, woher das kommt. Hab hier schon gelesen (Analyzing attacks taking advantage of the Exchange Server vulnerabilities - Microsoft Security), aber ich finde einfach nichts mehr auf dem Exchangeserver. Hab schon alle Tasks durchsucht etc. Hier sind die 3 Meldungen, die jede Stunden aufploppen:
<?xml version="1.0" encoding="utf-8" ?><ESET><LOG><RECORD><COLUMN NAME="Zeit">01.04.2021 12:41:01</COLUMN><COLUMN NAME="URL">http://t.netcatkit.com/aa.jsp?_20210328?EXCHANGE*EXCHANGE$*B3AA8080-E2B8-4DAD-B453-63C02610B4E5*658325707</COLUMN><COLUMN NAME="Status">Gesperrt</COLUMN><COLUMN NAME="Ereignis">Interne Blacklist</COLUMN><COLUMN NAME="Anwendung">C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</COLUMN><COLUMN NAME="Benutzer">NT-AUTORITÄT\SYSTEM</COLUMN><COLUMN NAME="IP-Adresse">209.141.45.118</COLUMN><COLUMN NAME="SHA1">9F1E24917EF96BBB339F4E2A226ACAFD1009F47B</COLUMN></RECORD><RECORD><COLUMN NAME="Zeit">01.04.2021 12:41:01</COLUMN><COLUMN NAME="URL">http://t.sqlnetcat.com/aa.jsp?_20210328?EXCHANGE*EXCHANGE$*B3AA8080-E2B8-4DAD-B453-63C02610B4E5*1009697598</COLUMN><COLUMN NAME="Status">Gesperrt</COLUMN><COLUMN NAME="Ereignis">Interne Blacklist</COLUMN><COLUMN NAME="Anwendung">C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</COLUMN><COLUMN NAME="Benutzer">NT-AUTORITÄT\SYSTEM</COLUMN><COLUMN NAME="IP-Adresse">209.141.45.118</COLUMN><COLUMN NAME="SHA1">9F1E24917EF96BBB339F4E2A226ACAFD1009F47B</COLUMN></RECORD><RECORD><COLUMN NAME="Zeit">01.04.2021 12:41:01</COLUMN><COLUMN NAME="URL">http://down.sqlnetcat.com/aa.jsp?_20210328?EXCHANGE*EXCHANGE$*B3AA8080-E2B8-4DAD-B453-63C02610B4E5*1428853635</COLUMN><COLUMN NAME="Status">Gesperrt</COLUMN><COLUMN NAME="Ereignis">Interne Blacklist</COLUMN><COLUMN NAME="Anwendung">C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</COLUMN><COLUMN NAME="Benutzer">NT-AUTORITÄT\SYSTEM</COLUMN><COLUMN NAME="IP-Adresse">209.141.61.19</COLUMN><COLUMN NAME="SHA1">9F1E24917EF96BBB339F4E2A226ACAFD1009F47B</COLUMN></RECORD></LOG></ESET>
Kann mir jemand weiterhelfen wo ich noch suchen soll? Ich weiss einfach nicht mehr weiter.
Danke und gruss
Peter