Hallo,
irgendwer oder irgendetwas verändert bei unserem Exchange Server den DNS Eintrag der netzwerkkarte. Die Einbträge werden auf 8.8.8.8 und alszweiten DNS auf 9.9.9.9 geändert.
Ich Selber bin es nicht gewesen.
Gibt es irgendeinen Dienst (Oder böses Tool) was soetwas macht?
Ich habe den DNS Eintrag korrigiert und nach 1 Stdunde waren wieder die falschen Werte drin.
Exchange 2016 CU19 mit den bekannten Sicherheitsupdates.
Irgendjemand eine Idee?
Hallo koepi,
hast du schon geschaut, ob da nicht eine Gruppenrichtlinie greift? Bei solchen immer wiederkehrenden Änderungen würde ich zuerst dort suchen.
Gruß
Hallo,
ich habe gerade noch einmal nachgesehen, es greift keine Gruppenrichtlinie.
Ich kenne sons auch nichts was einen DNS verändert (es ist kein DHCP aktiviert).
Nach 1 Stunde ist wieder das falsche drin.
Ich würde vermuten, Kompromittierung und entsprechende Tasks in der Aufgabenplanung.
Ist korrekt, ich habe mehrere Task in der Aufgabenplanung gefunden.
Ich habe diese deaktiviert, aber trotzdem findet die Änderung weiterhin statt.
Nach ein paar Stunden ist ein weiterer task in der Aufgabenplanung aufgetaucht.
Im verlauf steht:
Die Aufgabe "\EsqMOTNG" wurde vom Benutzer "S-1-5-18" registriert.
Wir haben uns also etwas eingefangen, nur finde ich momentan nicht wirtklich etwas ausser die Tasks in der Aufgabenplanung.
Als verantwortungsvoller Admin bleibt Dir nur eins: Exchange mit bestehender Datenbank neu installieren - Franky hat eine Anleitung dafür erstellt.
Auf jeden Fall einen Windows / Exchange Spezialisten engagieren, welcher Deine IT Infrastruktur auf Malware überprüft.
Aus dem Vorfall lernen. Kein Zugriff von aussen auf die Exchange Dienste. Zugriff nur über VPN. Ausnahme AktiveSync, welches wie folgt abgesichert wird:
Ein neue Webseite im IIS und dartuner ein virtuelles Verzeichnis für EAS anlegen und eigenen Port (z.B. 3232) zuweisen. Default EAS Verzeichnis löschen, da ansonsten Probleme beim Einspielen von CUs auftreten.
Am Besten Verwendung von User Zertifikaten für EAS. Eine Anleitung findest Du hier. Zusätzlicher Schutz bietet die Absicherung mit DeviceID.
Einsatz einer Firewall (UTM) zur Absicherung Deines LANs. Ich haben die OpenSource Lösung "OPNSense" im Einsatz. Diese bietet eine Stateful Firewall, einen VPN Server (IPSec / IKEv2, OpenVPN, WireGuard), eine IDS/IPS Funktion, einen (Reverse) Proxy und vieles mehr. Hierüber habe ich auch eine Firewall Regel für den Zugriff auf den EAS Port nur aus den deutschsprachigen Ländern realisiert (sog. GEOIP).
Aus dem Vorfall lernen. Kein Zugriff von aussen auf die Exchange Dienste. Zugriff nur über VPN. Ausnahme AktiveSync, welches wie folgt abgesichert wird:
Weil in active Sync keine Lücken stecken könnten? Ich denke, die Aussage ist dann auch sehr pauschal.