Defender заблокировал угрозы. Ставить патчи)

На нескольких серверах обнаружена подозрительная активность в логах, но других признаков поражения не найдено.

А фиг там. На свежую голову сегодня продолжил обследования. Нашлись на серверах зловреды, safety scanner нашел и удалил. В логах и вызовы aspx, и DDI имеется. Вроде все почищено, фиксы установлены. Беглый осмотр групп в AD не показал ничего. Но нет полной ясности, что где могло еще остаться.

@@jam62 autorun из Sysinternals запустите и WMI посмотрите

Старался :-)

Спасибо.

Спасибо.

Мне кажется вам сюда www.shodan.io

Привет, под "системными выводами" ты что понимаешь?

Да, правильно.

@@pnagaev Спасибо за ответ и за видео!

А если снаружи зарубить доступ к ecp и к owa,оставив его для локальной сети,тогда,по идее,атака извне станет невозможна?

да, правильно. У меня лабы до сих пор непатченные, на них 443 порт закрыт из Инета

@@ITVideoPRO а когда Outlook клиенты подключаются к серверу, они же тоже по 443 порту это делают

Точно? :-)

@@ITVideoPRO ну ладно - кое-что понятно даже джиперу :-)