DNS-Eintrag ändert sich selbstständig
Hallo liebe Gemeinde,
Es geht um einen Terminal-Server Windows 2012 R2, der von einer Domäne in eine andere Domäne migriert wurde.
Nach dem Wechsel der Domäne läuft scheinbar alles normal, die User können sich per RDP anmelden.
Allerdings passiert nach etwa 30-60 Minuten folgendes in den Netzwerkeinstellungen: Der korrekt eingestellte DNS-Server (DC01) wird anscheinend automatisch ersetzt durch 8.8.8.8 und Secondary 9.9.9.9.
Dann kann sich niemand mehr remote anmelden und der DNS muss von Hand wieder eingetragen werden. Das ganze wiederholt sich regelmäßig.
Habt ihr Ideen? Braucht ihr mehr Infos?
Danke und liebe Grüße
puerto
Es geht um einen Terminal-Server Windows 2012 R2, der von einer Domäne in eine andere Domäne migriert wurde.
Nach dem Wechsel der Domäne läuft scheinbar alles normal, die User können sich per RDP anmelden.
Allerdings passiert nach etwa 30-60 Minuten folgendes in den Netzwerkeinstellungen: Der korrekt eingestellte DNS-Server (DC01) wird anscheinend automatisch ersetzt durch 8.8.8.8 und Secondary 9.9.9.9.
Dann kann sich niemand mehr remote anmelden und der DNS muss von Hand wieder eingetragen werden. Das ganze wiederholt sich regelmäßig.
Habt ihr Ideen? Braucht ihr mehr Infos?
Danke und liebe Grüße
puerto
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 664924
Url: https://administrator.de/forum/dns-eintrag-aendert-sich-selbststaendig-664924.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
9 Kommentare
Neuester Kommentar
Hi,
nachdem ich jetzt selber 8 std mit dem problem rumgemacht habe und ich schon im bett bin:
1) alle prozesse bzgl powershell beenden.
da sind auch viele kryptische danei
2) im aufgabenplaner alle suspekten einträge löschen
3) c windows temp alle suspekten dateien löschen z.b. .bin
4) c windows system32 windowspowershell v1.0 alle suspekten exe löschen und die powershell.exe vorerst umbenennen
5) dns einträge wieder richtig setzen
6a) microsoft security schnelltest
6b) kaspersky endpoint security 11.6,x testversion laden und voll scannen lassen und an lassen
bis morgen
nachdem ich jetzt selber 8 std mit dem problem rumgemacht habe und ich schon im bett bin:
1) alle prozesse bzgl powershell beenden.
da sind auch viele kryptische danei
2) im aufgabenplaner alle suspekten einträge löschen
3) c windows temp alle suspekten dateien löschen z.b. .bin
4) c windows system32 windowspowershell v1.0 alle suspekten exe löschen und die powershell.exe vorerst umbenennen
5) dns einträge wieder richtig setzen
6a) microsoft security schnelltest
6b) kaspersky endpoint security 11.6,x testversion laden und voll scannen lassen und an lassen
bis morgen
Hallo tikayevent,
ich konnte bisher nix erkennen, sind keine neuen dazugekommen und die alten auch nicht bearbeitet worden.
Bei mir ist der vermutlich gehackte Exchange isoliert und die Powershell.exe auf dem Server wo das Problem mit dem Crypto Miner besteht umbenannt.
Seit dem keine Auffälligkeiten mehr.
ich konnte bisher nix erkennen, sind keine neuen dazugekommen und die alten auch nicht bearbeitet worden.
Bei mir ist der vermutlich gehackte Exchange isoliert und die Powershell.exe auf dem Server wo das Problem mit dem Crypto Miner besteht umbenannt.
Seit dem keine Auffälligkeiten mehr.
Zitat von @puerto:
Hallo liebe Gemeinde,
Es geht um einen Terminal-Server Windows 2012 R2, der von einer Domäne in eine andere Domäne migriert wurde.
Nach dem Wechsel der Domäne läuft scheinbar alles normal, die User können sich per RDP anmelden.
Allerdings passiert nach etwa 30-60 Minuten folgendes in den Netzwerkeinstellungen: Der korrekt eingestellte DNS-Server (DC01) wird anscheinend automatisch ersetzt durch 8.8.8.8 und Secondary 9.9.9.9.
Dann kann sich niemand mehr remote anmelden und der DNS muss von Hand wieder eingetragen werden. Das ganze wiederholt sich regelmäßig.
Habt ihr Ideen? Braucht ihr mehr Infos?
Hallo liebe Gemeinde,
Es geht um einen Terminal-Server Windows 2012 R2, der von einer Domäne in eine andere Domäne migriert wurde.
Nach dem Wechsel der Domäne läuft scheinbar alles normal, die User können sich per RDP anmelden.
Allerdings passiert nach etwa 30-60 Minuten folgendes in den Netzwerkeinstellungen: Der korrekt eingestellte DNS-Server (DC01) wird anscheinend automatisch ersetzt durch 8.8.8.8 und Secondary 9.9.9.9.
Dann kann sich niemand mehr remote anmelden und der DNS muss von Hand wieder eingetragen werden. Das ganze wiederholt sich regelmäßig.
Habt ihr Ideen? Braucht ihr mehr Infos?
Du hast Malware auf Deinem System (Exchange-Hack).
Alles neu aufsetzen!
Insbesondere das AD ist anscheinend betroffen.
Nachtrag:
Um es nochmal mit Nachdruk zu sagen: nach den beschriebenen Symptomen ist Dein Netz und AD verseucht. Das sinnvollste ist, alles vom netz zu trennen und frisch hochzuziehen. Ansonsten wirst Du auch noch in einem Jahr immer wieder mit Nachwirkungen zu kämpfen haben. Das ist zwar viel Arbeit udn kostet u.U. auch viel Geld und Zeit, aber das Risiko später viel mehr zeit udn geld zu verlieren schätze ich höher ein. Es gibt schon die ersten Erpressungstrojaner, die auf dem Exchange-Hack aufbauen, bzw. auf den Hintertüren, die dadurch geschaffen wurden.
lks
lks