iT邦幫忙

0

公司的Exchange outlook 是不是被攻擊了 但是還能送信!!

如同標題,週一發現ECP管理介面掛掉了,尋求廠商回復是可能遭到攻擊....,目前已經試過卡巴掃毒與IIS服務重啟但都沒有發現任何問題,後來也再微軟社群發問,官方也回答不在此社群能解決項目內,是不是這個問題蠻嚴重的呢!有沒有高人能指點迷津~!https://ithelp.ithome.com.tw/upload/images/20210323/20122811QXVVHE3Rds.pnghttps://ithelp.ithome.com.tw/upload/images/20210323/20122811Dy61cM3mYC.png

https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download?fbclid=IwAR3NUZj7WQ1j0EV6SVufb6G4KcS1Q2HrBdBFIxT6jSgb7EFEJMrSFOAc3gM

https://github.com/microsoft/CSS-Exchange/tree/main/Security?fbclid=IwAR3gHAxEIZOxh6_UahGHfvZP1EdrBiuOkl6GcmIhlvadAxYYakUkispRUT8
感謝您的資訊 我再來試試!!
0
richardsuma
iT邦大師 1 級 ‧ 2021-03-23 13:51:38
最佳解答

我們公司昨天也發現這個問題,重新安裝KB5000871 patch,在重新開機之後就正常。

如果沒錯,webmail 應該也不能使用才對。

現在目前只能尋求廠商了~~我怕自己動出大事 哈哈

後來將Exchange更新為CU20就修復好了

恭喜

4
raytracy
iT邦大神 1 級 ‧ 2021-03-23 09:29:41

雖然這個時間點很敏感, 但沒進行鑑識之前, 也無法論定是攻擊...

不知道你的版本, 所以只能亂給答案:
https://www.google.com/search?q=microssoft+forum+exchange+ecp+broken&rlz=1C1GCEU_zh-TWTW853TW853&oq=microssoft+forum+exchange+ecp+broken&aqs=chrome..69i57.20113j1j4&sourceid=chrome&ie=UTF-8

ps. Exchange 每個版本的問題和解法都可能不相同....

看更多先前的回應...收起先前的回應...

公司目前使用的版本號為 Exchange Server 2016 CU14 ,網路上查的文章都是有關WINWOES安全性更新後的問題,但是該SERVER都沒有做任何的自動更新。

raytracy iT邦大神 1 級 ‧ 2021-03-23 10:12:44 檢舉
raytracy iT邦大神 1 級 ‧ 2021-03-23 10:15:55 檢舉

owa網頁版outlook是可以使用的,只有網頁版管理界面出問題....

1
japhenchen
iT邦大師 1 級 ‧ 2021-03-23 10:40:37

題外話,今天我們公司也被這種信件狂轟,因為沒有可規則化的特徵,最後只能很被動的用標題過濾,真的蠻無奈,也只能如此
https://ithelp.ithome.com.tw/upload/images/20210323/20117954XPWDrHS9Di.jpg

看更多先前的回應...收起先前的回應...
雷伊 iT邦高手 1 級 ‧ 2021-03-23 10:59:53 檢舉

若有收到此類信件很緊張跑來找前輩的,我就只懷疑他有在上班時間看謎片。

這個類似信件公司另有一套垃圾防疫系統所以沒有發生過此狀況,但倒是很多正常信件不小心被誤認為垃圾信件。

有掛spamassassin/clamav這些在過濾,但有時會偶而冒出這種標題與原來的設定不相同的,且無附件無攻擊且來源主機真是亂槍打鳥性的純威脅信,有時還真的蠻嚇人就是了,已加入規則隔離

3分鐘內的攻擊被阻擋記錄.....
我實在是找不出這類信件的可封鎖共通方向,只有用 subject 過濾封鎖(比較不會誤判)

但只要他們改標題,就又要再來一次

好煩哦

https://ithelp.ithome.com.tw/upload/images/20210323/2011795409w4HSpBHj.jpg

wayneup4 iT邦新手 2 級 ‧ 2021-03-23 13:57:43 檢舉

跟你一模一樣的信我也收到一封,我是mailscanner+clamav+spamassassin,會被標註SPAM,只是怕有些信會誤判,沒有再伺服器端過濾到OUTLOOK才用規則過濾而已。https://ithelp.ithome.com.tw/upload/images/20210323/20114547jOCwgCJljK.png

ACER中招了,他們也是用EXCHANGE
https://ithelp.ithome.com.tw/upload/images/20210323/2011795442stmOpjmE.jpg

mathewkl iT邦新手 2 級 ‧ 2021-03-24 12:59:00 檢舉

Mail Service還是不要下地的好,5000萬都能付好幾年的帳號使用費了

100人1年30萬來算,166年耶

我要發表回答

立即登入回答