Hi
ich habe bei mir eingie Einträge in den Logs mit diesem Script gefunden
u_ex210303.log:13342:2021-03-03 07:40:23 192.168.XXX:XXX POST /ecp/y.js&CorrelationID=<empty>;&cafeReqId=bc516abe-4c9e-4d53-821b-*REDACTED*; 443 - 86.105.18.116ExchangeServicesClient/0.0.0.0 - 200 0 0 67
Die Frage ist wie man diese nun deutet.
Auf dem Server ist definitv jemand drauf gewesen ud hatte de berschtigungen des /owa/auth und eines anderen Ordners auf Jeder gesetzt...
Gepatcht ist er jetzt aber ...
Die 100 ist ja ein AK das die Verbindung zustande gekommen ist ber ich verstehe die Zaheln dahinter nicht.
danke
Auf dem Server ist definitv jemand drauf gewesen
Und das sollte Grund genug sein, zumindest diesem Server nicht mehr zu vertrauen.
Jo das ist mir bewusst aber wie deutet man den Kram nun... Ist ja nicht so einfach MAD zu wählen ... :D
Dazu müßte man dann schon ein paar mehr Einträge sehen, denn da oben sieht das sehr gekürzt aus. Aber am Ende sieht man in den Einträgen halt, dass diverse set-Befehle ausgeführt wurden. Welche genau, kann dir ein Forensiker wahrscheinlich rausdröseln. Ich hab schon reset von OAB Verzeichnis gesehen und am Ende lagen die Password Hashes wegen einer installierten Webshell im Verzeichnis.
Ich spiele grade mit Log Parser Studio und bekomme da solche Einträge raus:
RowNumber date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken 27963 06.03.2021 00:00:00 01.01.2000 20:55:00 192.168.2.176 POST /ecp/y.js &CorrelationID=;&cafeReqId=05921a55-f80b-4309-8280-f8c7d2674372; 443 172.105.87.139 ExchangeServicesClient/0.0.0.0 200 0 0 62
Jetzt ist die Frage wie ich die Zahlen nach der 200 deuten kann.
sc-status, sc-substatus, sc-win32-status und time-taken
Gibts da noch weitere Logs die ich durchsuchen kann um rauszufinden was da passiert ist