Forum
Bildirimler
Hepsini Temizle
Exchange Server
9
Yazılar
3
Üyeler
2
Likes
3,075
Görüntüleme
Konu başlatıcı
Merhabalar,
Sunucu yedek alıyor mu diye kontrol ederken gözüme bu uyarı takıldı. Yedeklemede bu şekilde bir hata gözüküyordu.
dosya lokasyonu gözüküyordu o adrese gittim
Windows/microsoft.net/netframework64/..../root/
yukarıdaki gibi bi adresti şuan evde olduğum için tam adresi yazamıyorum.
Burada ilgili klasöre girdim APP_WEB_......dll
tam adını bilmediğim böyle bir dll dosyasını windows'un kendi antivürüsü sildi. FAkat nasıl oluyorsa farklı bir tane geliyor. Antivirüs virüs olarak algılıyor ve siliyor.
Backup alırken'de aynı şekilde bu uyarıyı gösteriyor. Daha önceden hiç böyle bir hatayla karşılaşmadım.
Silinen virüslü dosya içeriğinde yani windows'un antivirüsünde Backdoor:MSIL/chopper.F!dha diye bir uyarı gösteriyor.
İnternette biraz araştırdım. Sanırım mart ayında çıkmış bir durum veya bilmiyorum daha eskide olabilir benim baktığım kadarıyla öyle.
Bu sorunu yaşayan arkadaşlarımız var mıdır? Sorunu çözdünüz mü? Nasıl bir yol izlediniz?
Ayrıca bu neyin nesidir? bilgisi olan varsa özet geçebilir mi? Tavsiyeleriniz, yapmam gereken nedir?
Gönderildi : 12/03/2021 00:59
Öncelikle Mart ayında yayınlanan exchange zafiyetlerinden yararlanılarak sisteminize birileri sızmış gibi duruyor, ancak bu tür bir durum için forumdan destek alamazsınız. Yani hızlıca çalıştığınız güvenlik firmasından pentest rica edin, pentest derken genel değil, bu konuda uzman ekipler var. Normal pentest hem pahalı hem de uzun sürebilir ancak bu konu özelinde özellikle aşağıdaki videoyu izleyebilirsiniz.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 12/03/2021 11:09
Volkan Konca and Volkan Konca reacted
Konu başlatıcı
Teşekkürler hakan bey
Gönderildi : 12/03/2021 11:12
Rica ederim, bu arada hesabınız askıya alındı, gerçek bilgi vermediğiniz tespit edildi, info ya kimliğinizi doğrularsanız hesabınız tekrar açılır.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 12/03/2021 11:14
Merhaba,
Windows Defender Exchange 2016 sunucuda Backdoor:MSIL/Chopper.F!dha tespit etti. Siz nasıl ilerlediniz ? direk silmek ve sunucuyu restart etmek sisteme bir zararı oluyor mu ? yardımlarınızı rica ederim.
Gönderildi : 14/03/2021 10:33
Öncelikle Mart ayında yayınlanan exchange zafiyetlerinden yararlanılarak sisteminize birileri sızmış gibi duruyor, ancak bu tür bir durum için forumdan destek alamazsınız. Yani hızlıca çalıştığınız güvenlik firmasından pentest rica edin, pentest derken genel değil, bu konuda uzman ekipler var. Normal pentest hem pahalı hem de uzun sürebilir ancak bu konu özelinde özellikle aşağıdaki videoyu izleyebilirsiniz.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 14/03/2021 13:27
Merhaba, @hakanuzuner HAFNIUM zafiyetinin kapanıp/kapanmadığı kontrol edebileceğim sunucu dışından kontrol edebileceğim. Script ya da uygulama öneriri misiniz.
Gönderildi : 15/03/2021 09:09
Ne yazık ki bu konuda kesin bir komut seti yok. Yani paylaşılan şeyler var, aşağıdaki bölümleri kontrol edin lütfen.
HAFNIUM targeting Exchange Servers with 0-day exploits - Microsoft Security
Ancak bunların hiç birisi bir uzman gözü ile bakmak gibi değildir, yani örnek komutu çalıştırdınız komut ok dedi, bu %100 kimsenin bu zafiyet üzerinden sizin sisteminize girmediğini göstermez, çünkü bu komut setleri genelde bilinen aksiyonları kontrol ediyor, yani kötü niyetli kişilerin genellikle yaptığı değişiklikleri.
Bu soruyu sorduğunuza göre sanırım bu videoyu izlemediniz, çünkü izleseydiniz böyle kolay bir yönteminin olmadığını öğrenirnirdiniz.
https://www.youtube.com/watch?v=m1ZD0s0KvGY
Ama yinede sistemlerinizi elinizden geldiği kadar kontrol edebilirsiniz.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 15/03/2021 10:27
Konu başlatıcı
@hakki hakkı bey ne gibi önlemler aldınız acaba?
Neler yaptınız söyleyebilir misiniz?
Gönderildi : 15/03/2021 11:08
