SK-CERT Bezpečnostné varovanie V20210304-03

WEBSHELL-y vytvorené útočníkom
\inetpub\wwwroot\aspnet_client\ (ľubovoľný .aspx súbor v tomto priečinku a jeho podpriečinkoch)
\\FrontEnd\HttpProxy\ecp\auth\ (ľubovoľné súbory okrem TimeoutLogoff.aspx)
\\FrontEnd\HttpProxy\owa\auth\ (ľubovoľné súbory, ktoré nie sú súčasťou štandardnej inštalácie)
\\FrontEnd\HttpProxy\owa\auth\Current\ (ľubovoľný .aspx súbor v tomto priečinku a jeho podpriečinkoch)
\\FrontEnd\HttpProxy\owa\auth\\(ľubovoľný .aspx súbor v tomto priečinku a jeho podpriečinkoch)

Neštandardné User-Agent asociované s POST požiadavkami na /owa/auth/Current
DuckDuckBot/1.0;+(+http://duckduckgo.com/duckduckbot.html)
facebookexternalhit/1.1+(+http://www.facebook.com/externalhit_uatext.php)
Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)
Mozilla/5.0+(compatible;+Bingbot/2.0;++http://www.bing.com/bingbot.htm)
Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html
Mozilla/5.0+(compatible;+Konqueror/3.5;+Linux)+KHTML/3.5.5+(like+Gecko)+(Exabot-Thumbnails)
Mozilla/5.0+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp)
Mozilla/5.0+(compatible;+YandexBot/3.0;++http://yandex.com/bots)
Mozilla/5.0+(X11;+Linux+x86_64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/51.0.2704.103+Safari/537.36
ExchangeServicesClient/0.0.0.0
python-requests/2.19.1
python-requests/2.25.1
antSword/v2.1
Googlebot/2.1+(+http://www.googlebot.com/bot.html)
Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)

IP adresy
103.77.192.219
104.140.114.110
104.250.191.110
108.61.246.56
149.28.14.163
157.230.221.198
167.99.168.251
185.250.151.72
192.81.208.169
203.160.69.66
211.56.98.146
5.254.43.18
80.92.205.81