stefankittel
Goto Top

Detect webshells ps1 findet Installationsverzeichnisse von Exchange oder CU sehr spannend. Mein Puls auch

Hallo,

ich habe eben detect_webshells.ps1 auf den von mir betreuten Exchange-Servern laufen lassen.
Bei einem erschien auf einmal ganz viel Text auf dem Bildschirm und mit Menge des Textes stieg mein Blutdruck.

Eine Kontrolle ergab aber dann, dass das Skript unter anderem Dateien mit dem Namen "web.config" findet.
Und im Installationsvereichnis gibt es davon einige.

Also falscher Alarm.

Ich schreibe dass bevor es jemanden von Euch auch so geht face-smile

Viele Grüße

Stefan

C:\temp\210304_ExchangeUpdate\setup\serverroles\frontend... 29.05.2019 02:02:58
C:\temp\210304_ExchangeUpdate\setup\serverroles\frontend... 29.05.2019 02:02:58
C:\temp\210304_ExchangeUpdate\setup\serverroles\frontend... 29.05.2019 02:02:58
C:\temp\210304_ExchangeUpdate\setup\serverroles\frontend... 29.05.2019 02:02:58
C:\temp\210304_ExchangeUpdate\setup\serverroles\frontend... 29.05.2019 02:02:58
C:\temp\210304_ExchangeUpdate\setup\serverroles\frontend... 29.05.2019 02:02:58
C:\temp\210304_ExchangeUpdate\setup\serverroles\frontend... 29.05.2019 02:02:58
C:\temp\210304_ExchangeUpdate\setup\serverroles\frontend... 29.05.2019 02:02:58
C:\temp\210304_ExchangeUpdate\setup\serverroles\frontend... 29.05.2019 02:02:58
C:\temp\210304_ExchangeUpdate\setup\serverroles\frontend... 29.05.2019 02:02:58
C:\temp\210304_ExchangeUpdate\setup\serverroles\frontend... 29.05.2019 02:02:58
C:\temp\210304_ExchangeUpdate\setup\serverroles\frontend... 29.05.2019 02:02:58

Server requires further examination to confirm the breach and determine it's extent  
Consider sending malware (webshells and other) samples to cert@cert.lv for further analysis

Content-Key: 660585

Url: https://administrator.de/contentid/660585

Ausgedruckt am: 29.03.2024 um 15:03 Uhr