Unbekanntes Powershell-Script wird auf Server ausgeführt
Hallo,
ich habe gestern testweise auf einem unserer Server Deep scriptblock logging aktiviert und heute in der Früh gleich einen Eintrag in den Eventlogs gefunden, den ich nicht zuordnen kann.
Das Powershell-Skript enthält folgende Befehle
$res = 0;
if(get-vmswitch | Where {$_.NetAdapterInterfaceDescription -ne $null -and $_.NetAdapterInterfaceDescription -eq (Get-NetLbfoTeamNic).InterfaceDescription}){$res=1}; Write-Host Final result:, $res
Ich habe im Netz gesucht und nur einen Thread in reddit gefunden, bei dem niemand antworten konnte, was es effektiv ist.
Da der Server ist eine VM auf VMware ist, dachte ich zuerst, dass es von VMware ausgehen könnte. Da stört mich aber die Tatsache, dass das Skript mit der SID S-1-5-18 läuft, außer VMware kann Skripte mit diesem Benutzer ausführen.
Kann mir vielleicht jemand von euch einen Hinweis geben?
Vielen Dank
Andreas
ich habe gestern testweise auf einem unserer Server Deep scriptblock logging aktiviert und heute in der Früh gleich einen Eintrag in den Eventlogs gefunden, den ich nicht zuordnen kann.
Das Powershell-Skript enthält folgende Befehle
$res = 0;
if(get-vmswitch | Where {$_.NetAdapterInterfaceDescription -ne $null -and $_.NetAdapterInterfaceDescription -eq (Get-NetLbfoTeamNic).InterfaceDescription}){$res=1}; Write-Host Final result:, $res
Ich habe im Netz gesucht und nur einen Thread in reddit gefunden, bei dem niemand antworten konnte, was es effektiv ist.
Da der Server ist eine VM auf VMware ist, dachte ich zuerst, dass es von VMware ausgehen könnte. Da stört mich aber die Tatsache, dass das Skript mit der SID S-1-5-18 läuft, außer VMware kann Skripte mit diesem Benutzer ausführen.
Kann mir vielleicht jemand von euch einen Hinweis geben?
Vielen Dank
Andreas
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672780
Url: https://administrator.de/forum/unbekanntes-powershell-script-wird-auf-server-ausgefuehrt-672780.html
Ausgedruckt am: 20.05.2025 um 03:05 Uhr
5 Kommentare
Neuester Kommentar
Moin,
Wenn du die VMWare Tools installiert hast: die laufen als Treiber im KernelMode und ggfs. als Dienst mit entsprechenden Rechten, die können also tun und machen was sie wollen
Sieht mir aber eher nach was von MS aus. Hast du schon mal deine Scheduled Tasks komtrolliert?
lg,
Slainte
Quelle: KI
Das Skript prüft, ob ein virtueller Switch mit einem NIC-Teaming-Adapter verbunden ist, und gibt 1 aus, wenn das der Fall ist, sonst 0.
Wenn du die VMWare Tools installiert hast: die laufen als Treiber im KernelMode und ggfs. als Dienst mit entsprechenden Rechten, die können also tun und machen was sie wollen
Sieht mir aber eher nach was von MS aus. Hast du schon mal deine Scheduled Tasks komtrolliert?
lg,
Slainte
1
Beobachte das doch mal intensiv:
- Findet es immer zur selben Zeit statt?
- Gibt es ähnliche Befehle die regelmäßig laufen?
- Wenn es immer zur gleichen Zeit passiert: ProcessMon mitlaufen lassen
- Ggf. Powershell Transaktionslogs per GPO aktivieren und schauen ob die auch auflaufen, der Transaktionslog enthält auch die Prozess-ID, damit sollte man dann dem Verursacher auf die Schliche kommen.
Grüße
- Findet es immer zur selben Zeit statt?
- Gibt es ähnliche Befehle die regelmäßig laufen?
- Wenn es immer zur gleichen Zeit passiert: ProcessMon mitlaufen lassen
- Ggf. Powershell Transaktionslogs per GPO aktivieren und schauen ob die auch auflaufen, der Transaktionslog enthält auch die Prozess-ID, damit sollte man dann dem Verursacher auf die Schliche kommen.
Grüße
Ganz harte Methode:
Everything oder mit Notepad++ mal in den Dateien danach suchen. Dauert ein Weilchen, wäre aber noch eine Idee. Wenn der Code nicht aus SQL Blob o.ä. kommt, müsste der ja als Plaintext ggf. zu finden sein.
Kann sich auch in Binaries und DLLs verstecken. Aber so eine Suche tut nicht weh und du hast ggf. rasch neue Erkenntnisse.
Everything oder mit Notepad++ mal in den Dateien danach suchen. Dauert ein Weilchen, wäre aber noch eine Idee. Wenn der Code nicht aus SQL Blob o.ä. kommt, müsste der ja als Plaintext ggf. zu finden sein.
Kann sich auch in Binaries und DLLs verstecken. Aber so eine Suche tut nicht weh und du hast ggf. rasch neue Erkenntnisse.
Wenn du die VMWare Tools installiert hast: die laufen als Treiber im KernelMode und ggfs. als Dienst mit entsprechenden Rechten, die können also tun und machen was sie wollen
Sieht mir aber eher nach was von MS aus. Hast du schon mal deine Scheduled Tasks komtrolliert?
lg,
Slainte
Hallo Slainte,Sieht mir aber eher nach was von MS aus. Hast du schon mal deine Scheduled Tasks komtrolliert?
lg,
Slainte
ich hatte nachgesehen, aber nicht genau genug. Nun mit schtasks /fo csv und es sieht wirklich danach aus,
dass es Scripts von MS sind.
Es werden verschiedene Scripts auf C:\Windows\diagnostics\scheduled\Maintenance ausgeführt, aber nicht direkt von diesem Pfad sondern z.B. aus
C:\Windows\TEMP\SDIAG_a89389bb-9438-4524-adf8-4b0fbc2beae7\TS_DiagnosticHistory.ps1
Dadurch ist es viel schwieriger zu erkennen, ob ein Script nun von MS oder bösartig ist.
Grüße
Andreas
Zitat von @Michi91:
- Ggf. Powershell Transaktionslogs per GPO aktivieren und schauen ob die auch auflaufen, der Transaktionslog enthält auch die Prozess-ID, damit sollte man dann dem Verursacher auf die Schliche kommen.
Grüße
Grüße
Hallo Michi,
wie geschrieben habe ich das Logging aktiviert und bin deshalb auf diese Scripte gestossen.
Sind wohl, wie schon geschrieben, von MS.
Grüße
Andreas
