Soucis avec Processus de Minage sur Serveur ..

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

j.coquillet
Messages : 6
Inscription : 31 juil. 2021 12:03

Soucis avec Processus de Minage sur Serveur ..

par j.coquillet »

Bonjour,
J'ai un soucis sur un serveur Exchange d'un de mes clients, j'ai un processus qui se lance tous les soirs et qui sature le processeur et du coup le serveur.
Après quelque recherche, c'est un processus rundll32, qui lance une connection à priori de minage vers pool.supportxmr.com. J'ai pour le moment bloqué l'accès à ce site mais le processus se lance toujours.
Pour info, ce serveur a été attaqué par Hafnium en mars et nous avons uniquement restaurer le serveur à la date antérieure avec nettoyage et application de toutes les MAJ nécessaire.
Avez vous une solution pour voir comment ce processus se lance et surtout éviter qu'il continue. Ou bien vaut il mieux refaire un serveur complet avec tous les désavantage que cela incombe.
Merci de votre aide
Serveur en Windows 2016 / Exchange 2016
Johann
Avatar de l’utilisateur
angelique
Messages : 30943
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Soucis avec Processus de Minage sur Serveur ..

par angelique »

Bonjour/Bonsoir,

https://www.fireeye.com/blog/fr-threat- ... iners.html

ça doit être une tache planifiée .

Le serveur ne doit pas être redémarré je suppose ?
  • Télécharge sur ton Bureau pas ailleurs FRST.EXE:



    La page de téléchargement : le tutoriel FRST ou FRST



    !! Placez le programme sur le bureau et pas ailleurs!! Par commodité

    -------------
  • Exécute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
    Le scan se lance, les éléments scannés apparaissent en haut.

    -------------
  • Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )

    -------------

    Utilise le site http://pjjoint.malekal.com/ pour envoyer tes rapports, et poste les liens dans ta prochaine réponse pour analyse.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
j.coquillet
Messages : 6
Inscription : 31 juil. 2021 12:03

Re: Soucis avec Processus de Minage sur Serveur ..

par j.coquillet »

Bonjour,
Merci.
Ci joints les liens
https://pjjoint.malekal.com/files.php?i ... 6q15e5f7i9
Mais le fichier addition, je n'arrive pas à récupérer un lien.
Est ce que cela suffit ?
Merci de ton aide,
Avatar de l’utilisateur
angelique
Messages : 30943
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Soucis avec Processus de Minage sur Serveur ..

par angelique »

Faudrait voir avec https://www.malekal.com/process-explore ... es-avance/ si tu peux identifier ce que rundll32 lance, quel fichier ?

y'a pas mal d'analyse sur ce XMR monero

https://news.sophos.com/en-us/2021/04/1 ... e-servers/
https://www.incibe-cert.es/sites/defaul ... 021_v1.pdf

Apparemment, c'est même pas une tache planifiée, c'est un payload qui injecte un processus légitime de Microsoft.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
j.coquillet
Messages : 6
Inscription : 31 juil. 2021 12:03

Re: Soucis avec Processus de Minage sur Serveur ..

par j.coquillet »

Voici ce qu'il lance le processus !!
Ce n'est même pas un fichier, c'est directement une commande :
C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON
Malekal_morte
Messages : 107573
Inscription : 10 sept. 2005 13:57

Re: Soucis avec Processus de Minage sur Serveur ..

par Malekal_morte »

Essaye de lister les tâches planifiées avec Autoruns, voir : https://www.malekal.com/autoruns/
Tu dois pouvoir isoler la commande rundll32 et ainsi trouver la tâche planifiée.
En espérant qu'elle se lance par cette méthode.

Une recherche texte sur le disque sur pool.supportxmr.com serait pas mal aussi, des fois que ce soit un script batch ou powershell qui le lance.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
j.coquillet
Messages : 6
Inscription : 31 juil. 2021 12:03

Re: Soucis avec Processus de Minage sur Serveur ..

par j.coquillet »

Ces deux recherches ne donnent rien avec les infos de la ligne de commande lancée.
Je suis vraiment dans l'impasse sur ce coup !
Je sens que cela va être un rechargement ..
Si une autre idée, je suis preneur.
Merci
Malekal_morte
Messages : 107573
Inscription : 10 sept. 2005 13:57

Re: Soucis avec Processus de Minage sur Serveur ..

par Malekal_morte »

C'est bizarre que rundll32.exe ne lance pas de DLL.
Il est exécuté avec quel utilisateur ?
Admin ?

Tu as scanné C:\Windows\System32\rundll32.exe sur https://www.virustotal.com pour s'assurer que le fichier n'a pas été remplacé ?

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
j.coquillet
Messages : 6
Inscription : 31 juil. 2021 12:03

Re: Soucis avec Processus de Minage sur Serveur ..

par j.coquillet »

Avec virustotal sur rundll32, pas de détection positive. Fichier ok.
Processus lancé par système (ci joint image du processus https://pjjoint.malekal.com/files.php?i ... i15j15j7w9).
Le lien du résultat EsetOnline https://pjjoint.malekal.com/files.php?i ... 6v14y66l12
Merci,
Malekal_morte
Messages : 107573
Inscription : 10 sept. 2005 13:57

Re: Soucis avec Processus de Minage sur Serveur ..

par Malekal_morte »

Ca semble venir de IIS.
Si tu regardes le rundll32, le chemin de lancement est : C:\Windows\system32\inetsrv

De plus NOD32 a détecté des éléments dedans.
Notamment un Trojan.CoinMiner supprimé.
C:\inetpub\wwwroot\aspnet_client\system_web\iisstart.aspx ASP/Agent.X cheval de troie nettoyé par suppression
C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\ecp\auth\Logout.aspx ASP/Agent.X cheval de troie nettoyé par suppression

C:\ProgramData\CON\hwDmZ\bAFFyS.aspx ASP/Webshell.CK cheval de troie nettoyé par suppression
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ecp\1cd810a3\710c31b6\App_Web_logout.aspx.f5dba9b9.-w5te1qy.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression (après le prochain redémarrage)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ecp\1cd810a3\710c31b6\App_Web_logout.aspx.f5dba9b9.hdzg0hhx.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression (après le prochain redémarrage)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ecp\1cd810a3\710c31b6\App_Web_logout.aspx.f5dba9b9.ilu0l99z.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression (après le prochain redémarrage)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ecp\1cd810a3\710c31b6\App_Web_logout.aspx.f5dba9b9.jen8-qsr.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression (après le prochain redémarrage)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ecp\1cd810a3\710c31b6\App_Web_logout.aspx.f5dba9b9.l90bjd8p.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression (après le prochain redémarrage)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ecp\1cd810a3\710c31b6\App_Web_logout.aspx.f5dba9b9.mbnbej0r.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression (après le prochain redémarrage)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ecp\1cd810a3\710c31b6\App_Web_logout.aspx.f5dba9b9.ny6stnh2.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression (après le prochain redémarrage)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ecp\1cd810a3\710c31b6\App_Web_logout.aspx.f5dba9b9.o9pdacvq.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression (après le prochain redémarrage)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ecp\1cd810a3\710c31b6\App_Web_logout.aspx.f5dba9b9.oob_ylwl.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression (après le prochain redémarrage)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ecp\1cd810a3\710c31b6\App_Web_logout.aspx.f5dba9b9.qog3mwya.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression (après le prochain redémarrage)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ecp\1cd810a3\710c31b6\App_Web_logout.aspx.f5dba9b9.rkc4qpcy.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression (après le prochain redémarrage)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ecp\1cd810a3\710c31b6\App_Web_logout.aspx.f5dba9b9.vgy5advm.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression (après le prochain redémarrage)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ecp\1cd810a3\710c31b6\App_Web_logout.aspx.f5dba9b9.z3tswcgl.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression (après le prochain redémarrage)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\owa\8e05b027\e164d61b\App_Web_baffys.aspx.a04ebe95.jugq_hlv.dll variante de MSIL/Webshell.AS cheval de troie nettoyé par suppression
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\e22c2559\92c7e946\App_Web_iisstart.aspx.2bd5d753.wbgglpcf.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Libs\sihost64.exe variante de MSIL/CoinMiner.BIP cheval de troie nettoyé par suppression
C:\Windows\System32\inetsrv\run.bat BAT/KillAV.NFL cheval de troie nettoyé par suppression

Emplacements de démarrage automatique variante de MSIL/Webshell.AB cheval de troie,est OK contenait des fichiers infectés
Apparemment le site a un WebShell : MSIL/Webshell.AB
Faudrait inspecter le site... car ca peut être le point de départ qui a ensuite donné la main sur le serveur.
A lire : https://www.malekal.com/comment-detecte ... eb-shells/
Mais la page c'est plutôt pour les backdoor PHP, là ce sont des Backdoor ASPX, jamais rencontré pour ma part (jamais utilisé IIS).
S'il reste des backdoor ou des vulnérabilités sur le site, il va être réattaqué et rebelotte.

Sinon Windows et Exchange sont à jour ?
Y a eu des vulnérabilités sur Exchange récemment.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
j.coquillet
Messages : 6
Inscription : 31 juil. 2021 12:03

Re: Soucis avec Processus de Minage sur Serveur ..

par j.coquillet »

Exhange a bien été mis à jour pour contrer Hafnium une fois le serveur attaqué et après une restauration de la VM.
Par contre tout est à jour.
Pas de site web dessus, uniquement la partie pour Exchange, alors pour voir ou il y a un soucis, ça va être chaud.
Malekal_morte
Messages : 107573
Inscription : 10 sept. 2005 13:57

Re: Soucis avec Processus de Minage sur Serveur ..

par Malekal_morte »

C'est bizarre la présence de webshell s'il n'y a pas de site.
En plus c'est un serveur dans un LAN ? Le serveur WEB n'est pas accessible depuis internet ?

Faudrait faire un scan NOD32 sur le disque C, tous jours, pour voir si ça revient.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 107573
Inscription : 10 sept. 2005 13:57

Re: Soucis avec Processus de Minage sur Serveur ..

par Malekal_morte »

Lis cela : https://www.bleepingcomputer.com/news/m ... patch-now/
La capture correspond à tes détections NOD32.
Ton Exchange possède encore des vulnérabilités semble-t-il ou l'infection date d'avant la mise en place des correctifs.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »