在 Exchange 2016 身份验证文件夹中发现 errorEE.aspx Web Shell

在 Exchange 2016 身份验证文件夹中发现 errorEE.aspx Web Shell

因此微软最近发布了这份文档: https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

他们提到了一个名为errorEE.aspx的web shell,当我检查我的exchange auth文件夹时,我发现这个文件的修改日期显示为4/252018,但我100%确定这个文件不应该存在于这个文件夹中,而且它之前也不在那里。

那么现在如果这是一个 web shell,我该怎么办以及如何继续。顺便说一句,几天前 McAfee 也从同一文件夹中删除了一个木马。

这是目录(Microsoft 文档中也提到):Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth

我还发现了这个脚本: https://github.com/microsoft/CSS-Exchange/tree/main/Security

在我的办公室服务器上运行它安全吗?

答案1

根据最新更新这个MS官方博客Microsoft 支持紧急响应工具 (MSERT)已更新以扫描 Microsoft Exchange Server。

您可以运行 MSERT 来扫描 Microsoft Exchange Server 位置,查找来自对手的已知指标。有关更多详细信息,请阅读: https://github.com/microsoft/CSS-Exchange/blob/main/Security/Defender-MSERT-Guidance.md

Microsoft Defender 已将安全情报更新纳入最新版本的 Microsoft 安全扫描程序 (MSERT.EXE),以检测和修复已知滥用 2021 年 3 月 2 日披露的 Exchange Server 漏洞的最新威胁。...
这些
补救措施对已知攻击模式有效,但不能保证完全缓解所有可能利用这些漏洞的情况。Microsoft Defender 将继续监视并提供最新的安全更新。

相关内容