Benachrichtigungen
Alles löschen

Hafnium IPs gefunden


(@br0kk)
Eminent Member
Beigetreten: Vor 10 Monaten
Beiträge: 23
Themenstarter  

Hi

ich habe bei mir eingie Einträge in den Logs mit diesem Script gefunden

  1. u_ex210303.log:13342:2021-03-03 07:40:23 192.168.XXX:XXX POST /ecp/y.js
  2. &CorrelationID=<empty>;&cafeReqId=bc516abe-4c9e-4d53-821b-*REDACTED*; 443 - 86.105.18.116
  3. ExchangeServicesClient/0.0.0.0 - 200 0 0 67

Die Frage ist wie man diese nun deutet.

Auf dem Server ist definitv jemand drauf gewesen ud hatte de berschtigungen des /owa/auth und eines anderen Ordners auf Jeder gesetzt...

Gepatcht ist er jetzt aber ...

Die 100 ist ja ein AK das die Verbindung zustande gekommen ist ber ich verstehe die Zaheln dahinter nicht.

danke


Zitat
NorbertFe
(@norbertfe)
Estimable Member
Beigetreten: Vor 6 Monaten
Beiträge: 236
 
Veröffentlicht von: @br0kk

Auf dem Server ist definitv jemand drauf gewesen

Und das sollte Grund genug sein, zumindest diesem Server nicht mehr zu vertrauen.


AntwortZitat
(@br0kk)
Eminent Member
Beigetreten: Vor 10 Monaten
Beiträge: 23
Themenstarter  

Jo das ist mir bewusst aber wie deutet man den Kram nun... Ist ja nicht so einfach MAD zu wählen ... :D


AntwortZitat
NorbertFe
(@norbertfe)
Estimable Member
Beigetreten: Vor 6 Monaten
Beiträge: 236
 

Dazu müßte man dann schon ein paar mehr Einträge sehen, denn da oben sieht das sehr gekürzt aus. Aber am Ende sieht man in den Einträgen halt, dass diverse set-Befehle ausgeführt wurden. Welche genau, kann dir ein Forensiker wahrscheinlich rausdröseln. Ich hab schon reset von OAB Verzeichnis gesehen und am Ende lagen die Password Hashes wegen einer installierten Webshell im Verzeichnis.


AntwortZitat
(@br0kk)
Eminent Member
Beigetreten: Vor 10 Monaten
Beiträge: 23
Themenstarter  

Ich spiele grade mit Log Parser Studio und bekomme da solche Einträge raus:

RowNumber date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken 27963 06.03.2021 00:00:00 01.01.2000 20:55:00 192.168.2.176 POST /ecp/y.js &CorrelationID=;&cafeReqId=05921a55-f80b-4309-8280-f8c7d2674372; 443 172.105.87.139 ExchangeServicesClient/0.0.0.0 200 0 0 62

Jetzt ist die Frage wie ich die Zahlen nach der 200 deuten kann.

sc-status, sc-substatus, sc-win32-status und time-taken

Gibts da noch weitere Logs die ich durchsuchen kann um rauszufinden was da passiert ist


AntwortZitat

Teilen: