SO
зашел а там в шедуллере
Size: a a a
2021 March 15
PN
Ништяк, а как?
PN
А у меня горе, в лабе дефендер замочил такие файлы.
File to act on SHA1:1942A0BC6B5D32DE95E2781F97E3AAE034549727
File owner:BUILTIN\Administrators
File cleaned/removed successfully
File Name:C:\inetpub\wwwroot\aspnet_client\V0vney.aspx
Action remove successful on file:\\?\C:\inetpub\wwwroot\aspnet_client\V0vney.aspx
Resource action complete:Removal
Schema:file
Path:\\?\C:\inetpub\wwwroot\aspnet_client\V0vney.aspx
Threat ID:2147776820
Resource refcount:1
Result:0
File to act on SHA1:1942A0BC6B5D32DE95E2781F97E3AAE034549727
File owner:BUILTIN\Administrators
File cleaned/removed successfully
File Name:C:\inetpub\wwwroot\aspnet_client\V0vney.aspx
Action remove successful on file:\\?\C:\inetpub\wwwroot\aspnet_client\V0vney.aspx
Resource action complete:Removal
Schema:file
Path:\\?\C:\inetpub\wwwroot\aspnet_client\V0vney.aspx
Threat ID:2147776820
Resource refcount:1
Result:0
KK
айайай. такой майнер был
PN
а хз
а после CU секьюрити апдейты точно встали?
m
а хз
судя по всему где-то что-то осталось, ну и скомпроментирован домен/лес
KK
а его небыло раньше точно?
SO
а после CU секьюрити апдейты точно встали?
да
PN
кстати да, а до установки обновлений таски не было?
PN
а ну так оно старое, там в хистори посмотри дату создания задания
m
хэши кста проверял после чистки?
SO
а ну так оно старое, там в хистори посмотри дату создания задания
так вот вот дата
PN
ну тогда сам себе злостный буратина
SO
но я 9го там проганял MSERT и проверял шедуллер - там нифига такого не было
ну или я слепой(
ну или я слепой(
EV
А у меня горе, в лабе дефендер замочил такие файлы.
File to act on SHA1:1942A0BC6B5D32DE95E2781F97E3AAE034549727
File owner:BUILTIN\Administrators
File cleaned/removed successfully
File Name:C:\inetpub\wwwroot\aspnet_client\V0vney.aspx
Action remove successful on file:\\?\C:\inetpub\wwwroot\aspnet_client\V0vney.aspx
Resource action complete:Removal
Schema:file
Path:\\?\C:\inetpub\wwwroot\aspnet_client\V0vney.aspx
Threat ID:2147776820
Resource refcount:1
Result:0
File to act on SHA1:1942A0BC6B5D32DE95E2781F97E3AAE034549727
File owner:BUILTIN\Administrators
File cleaned/removed successfully
File Name:C:\inetpub\wwwroot\aspnet_client\V0vney.aspx
Action remove successful on file:\\?\C:\inetpub\wwwroot\aspnet_client\V0vney.aspx
Resource action complete:Removal
Schema:file
Path:\\?\C:\inetpub\wwwroot\aspnet_client\V0vney.aspx
Threat ID:2147776820
Resource refcount:1
Result:0
слышь чо
PN
слышь чо
ну я фиг знает, открыл лог, а там такое.
PN
но я 9го там проганял MSERT и проверял шедуллер - там нифига такого не было
ну или я слепой(
ну или я слепой(
ну само оно не могло же
m
ну само оно не могло же
проверь поиском *miner* 😄 (простите)