Помогите с Exchange

[nimiroff]

Всем добрый день.
Windows server 2016
Exchange 2016 CU9 (да-да, не обновленный)

В один момент пользователи начали жаловаться,что их клиенты получают от них письма, в основном ответы на старые. Причем некоторые получали письма от отключенных пользователей.

Просканировал установленным ESET - чисто, в логах нашел удаленный файл:
virus.JPG
MSERT микрософтовый во время сканирования показывал 3 файла с инфекцией, после сканирования показал чистую систему. Просканировал AVZ - чисто. Kaspersky Virus Removal Tool - чисто.

Freefixer - чисто.

iObit Malware Fighter- чисто.

AdwCleaner - чисто.

Просканировали пользователей компы и тоже ничего


Взломали из-за неактуальной CU? Как найти следы взлома?
Или все же вирус?


Сейчас сервер отключен от интернета, заблокирован на роутере, внутри сети дальше доступен.

Спасибо заранее за помощь!

[Info_bot]

Уважаемый(ая) nimiroff, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ из папки Autologger:

Код:

begin
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.

В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

[nimiroff]

Выполните скрипт в AVZ из папки Autologger:

Код:

begin
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.

В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

https://drive.google.com/file/d/159E...w?usp=drivesdk

[Vvvyg]

Прошло слишком много времени, в журнале безопасности системы уже только за сегодня события.
Скорее всего, через уязвимость ProxyLogon взломали, и/или другие.

[nimiroff]

Прошло слишком много времени, в журнале безопасности системы уже только за сегодня события.
Скорее всего, через уязвимость ProxyLogon взломали, и/или другие.

Сканировал тоже, чисто
proxylogon.JPG


я так понимаю понять откуда взялось не получится уже?

[Vvvyg]

Определённо - уже вряд ли. Закрывайте все уязвимости - Exchange, системы, меняйте пароли у всех пользователей (если этого ещё не сделали).

[nimiroff]

Определённо - уже вряд ли. Закрывайте все уязвимости - Exchange, системы, меняйте пароли у всех пользователей (если этого ещё не сделали).

Сервер будет удален и переустановлен.
Спасибо за помощь!