stefankittel
08.03.2021, aktualisiert am 10.03.2021
view3907
view0
2
Goto Top

Detect webshells ps1 findet Installationsverzeichnisse von Exchange oder CU sehr spannend. Mein Puls auch

ReportMicrosoftExchange Server
Hallo,

ich habe eben detect_webshells.ps1 auf den von mir betreuten Exchange-Servern laufen lassen.
Bei einem erschien auf einmal ganz viel Text auf dem Bildschirm und mit Menge des Textes stieg mein Blutdruck.

Eine Kontrolle ergab aber dann, dass das Skript unter anderem Dateien mit dem Namen "web.config" findet.
Und im Installationsvereichnis gibt es davon einige.

Also falscher Alarm.

Ich schreibe dass bevor es jemanden von Euch auch so geht face-smile

Viele Grüße

Stefan

C:\temp\210304_ExchangeUpdate\setup\serverroles\frontend... 29.05.2019 02:02:58
C:\temp\210304_ExchangeUpdate\setup\serverroles\frontend... 29.05.2019 02:02:58
C:\temp\210304_ExchangeUpdate\setup\serverroles\frontend... 29.05.2019 02:02:58
C:\temp\210304_ExchangeUpdate\setup\serverroles\frontend... 29.05.2019 02:02:58
C:\temp\210304_ExchangeUpdate\setup\serverroles\frontend... 29.05.2019 02:02:58
C:\temp\210304_ExchangeUpdate\setup\serverroles\frontend... 29.05.2019 02:02:58
C:\temp\210304_ExchangeUpdate\setup\serverroles\frontend... 29.05.2019 02:02:58
C:\temp\210304_ExchangeUpdate\setup\serverroles\frontend... 29.05.2019 02:02:58
C:\temp\210304_ExchangeUpdate\setup\serverroles\frontend... 29.05.2019 02:02:58
C:\temp\210304_ExchangeUpdate\setup\serverroles\frontend... 29.05.2019 02:02:58
C:\temp\210304_ExchangeUpdate\setup\serverroles\frontend... 29.05.2019 02:02:58
C:\temp\210304_ExchangeUpdate\setup\serverroles\frontend... 29.05.2019 02:02:58

Server requires further examination to confirm the breach and determine it's extent  
Consider sending malware (webshells and other) samples to cert@cert.lv for further analysis
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 660585

Url: https://administrator.de/knowledge/detect-webshells-ps1-findet-installationsverzeichnisse-von-exchange-oder-cu-sehr-spannend-mein-puls-auch-660585.html

Ausgedruckt am: 31.03.2025 um 22:03 Uhr

ReportMicrosoftExchange Server
Mehr von StefanKittelStefanKittelAlte rDNS löschen lassenStefanKittel - 3 KommentareStefanKittelJetzt auch ein SPF Eintrag für den SMTP Proxy selber?StefanKittel - 13 KommentareStefanKittelWindows-Datei-Sync-Tool mit Zeitfenstern gesuchtStefanKittel - 11 KommentareStefanKittelLenovo-Dock nur 2 MonitoreStefanKittel - 35 Kommentare
Heiß diskutiert
r2d2r3poNetzwerk Ausfäller2d2r3po - 42 KommentareTschakalakaNetzwerkscan - Suche nach inkompatiblen Windows 10 Clients für Windows 11 UpgradeTschakalaka - 41 KommentarepanguuRouter gesucht (Mikrotik, OPNsense)panguu - 32 Kommentareratzekahl1Batch-Datei mit Admin-Rechten ausführen ohne das Passwort raus zu gebenratzekahl1 - 32 KommentarejimmmySFP-Ports adaptieren?jimmmy - 30 KommentareaxlemoxleDeutsche Telefon, 3cx, Wildix, Yeastar Easybell, Peoplefone, was ist das richtigeaxlemoxle - 25 KommentareMarcoKerProbleme beim Rejoin von Computern unter Windows 11MarcoKer - 22 KommentarefnbaluLSI Avago 9265-8i Problemefnbalu - 21 Kommentarefatih.yaylaSBLenovo Notebook friert immer wieder einfatih.yaylaSB - 17 KommentareBitSchreckZwei Router im HeimnetzBitSchreck - 16 Kommentarechristian295VPN Router oder Firewall gesuchtchristian295 - 16 KommentareFrankZur Sicherheit der Signal-App im Kontext des aktuellen US-LeaksFrank - 15 KommentarempanziUnterschied Hardware-Server zu VM für Clientmpanzi - 15 Kommentare