Forum

Exchange Server 201...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Exchange Server 2016 - Backdoor:MSIL/Chopper.F!dha

9 Yazılar
3 Üyeler
2 Reactions
3,249 Görüntüleme
(@vkonca)
Gönderiler: 61
Estimable Member
Konu başlatıcı
 

Merhabalar,

Sunucu yedek alıyor mu diye kontrol ederken gözüme bu uyarı takıldı. Yedeklemede bu şekilde bir hata gözüküyordu.

dosya lokasyonu gözüküyordu o adrese gittim

Windows/microsoft.net/netframework64/..../root/

yukarıdaki gibi bi adresti şuan evde olduğum için tam adresi yazamıyorum.

Burada ilgili klasöre girdim APP_WEB_......dll

tam adını bilmediğim böyle bir dll dosyasını windows'un kendi antivürüsü sildi. FAkat nasıl oluyorsa farklı bir tane geliyor. Antivirüs virüs olarak algılıyor ve siliyor.

Backup alırken'de aynı şekilde bu uyarıyı gösteriyor. Daha önceden hiç böyle bir hatayla karşılaşmadım. 

Silinen virüslü dosya içeriğinde yani windows'un antivirüsünde Backdoor:MSIL/chopper.F!dha diye bir uyarı gösteriyor.

https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=Backdoor%3aMSIL%2fChopper.F!dha&threatid=-2147190442&enterprise=0

İnternette biraz araştırdım. Sanırım mart ayında çıkmış bir durum veya bilmiyorum daha eskide olabilir benim baktığım kadarıyla öyle.

Bu sorunu yaşayan arkadaşlarımız var mıdır? Sorunu çözdünüz mü? Nasıl bir yol izlediniz?

Ayrıca bu neyin nesidir? bilgisi olan varsa özet geçebilir mi? Tavsiyeleriniz, yapmam gereken nedir?

 
Gönderildi : 12/03/2021 00:59

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Öncelikle Mart ayında yayınlanan exchange zafiyetlerinden yararlanılarak sisteminize birileri sızmış gibi duruyor, ancak bu tür bir durum için forumdan destek alamazsınız. Yani hızlıca çalıştığınız güvenlik firmasından pentest rica edin, pentest derken genel değil, bu konuda uzman ekipler var. Normal pentest hem pahalı hem de uzun sürebilir ancak bu konu özelinde özellikle aşağıdaki videoyu izleyebilirsiniz.

(6) Exchange Server HAFNIUM Zafiyetinin Etkileri Nelerdir? Yapınızı Nasıl Kontrol Edersiniz? - YouTube

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 12/03/2021 11:09

(@vkonca)
Gönderiler: 61
Estimable Member
Konu başlatıcı
 

Teşekkürler hakan bey

 
Gönderildi : 12/03/2021 11:12

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Rica ederim, bu arada hesabınız askıya alındı, gerçek bilgi vermediğiniz tespit edildi, info ya kimliğinizi doğrularsanız hesabınız tekrar açılır.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 12/03/2021 11:14

(@hakki)
Gönderiler: 10
Active Member
 

Merhaba,

Windows Defender Exchange 2016 sunucuda Backdoor:MSIL/Chopper.F!dha tespit etti. Siz nasıl ilerlediniz ? direk silmek ve sunucuyu restart etmek sisteme bir zararı oluyor mu ? yardımlarınızı rica ederim. 

 

 
Gönderildi : 14/03/2021 10:33

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Öncelikle Mart ayında yayınlanan exchange zafiyetlerinden yararlanılarak sisteminize birileri sızmış gibi duruyor, ancak bu tür bir durum için forumdan destek alamazsınız. Yani hızlıca çalıştığınız güvenlik firmasından pentest rica edin, pentest derken genel değil, bu konuda uzman ekipler var. Normal pentest hem pahalı hem de uzun sürebilir ancak bu konu özelinde özellikle aşağıdaki videoyu izleyebilirsiniz.

(6) Exchange Server HAFNIUM Zafiyetinin Etkileri Nelerdir? Yapınızı Nasıl Kontrol Edersiniz? - YouTube

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 14/03/2021 13:27

(@hakki)
Gönderiler: 10
Active Member
 

Merhaba, @hakanuzuner HAFNIUM zafiyetinin kapanıp/kapanmadığı kontrol edebileceğim sunucu dışından kontrol edebileceğim. Script ya da uygulama öneriri misiniz. 

 
Gönderildi : 15/03/2021 09:09

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Ne yazık ki bu konuda kesin bir komut seti yok. Yani paylaşılan şeyler var, aşağıdaki bölümleri kontrol edin lütfen.

HAFNIUM targeting Exchange Servers with 0-day exploits - Microsoft Security

Ancak bunların hiç birisi bir uzman gözü ile bakmak gibi değildir, yani örnek komutu çalıştırdınız komut ok dedi, bu %100 kimsenin bu zafiyet üzerinden sizin sisteminize girmediğini göstermez, çünkü bu komut setleri genelde bilinen aksiyonları kontrol ediyor, yani kötü niyetli kişilerin genellikle yaptığı değişiklikleri.

Bu soruyu sorduğunuza göre sanırım bu videoyu izlemediniz, çünkü izleseydiniz böyle kolay bir yönteminin olmadığını öğrenirnirdiniz.

https://www.youtube.com/watch?v=m1ZD0s0KvGY

Ama yinede sistemlerinizi elinizden geldiği kadar kontrol edebilirsiniz.

Microsoft Exchange Server Zero-Day Zafiyetinin Tespit Edilmesi - Hafnium ( CVE-2021-26855,2021-26857,2021-26858,2021-27065 ) - ÇözümPark (cozumpark.com)

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 15/03/2021 10:27

(@vkonca)
Gönderiler: 61
Estimable Member
Konu başlatıcı
 

@hakki hakkı bey ne gibi önlemler aldınız acaba?

Neler yaptınız söyleyebilir misiniz?

 
Gönderildi : 15/03/2021 11:08

Paylaş: