Bitte nicht einfach Stecker ziehen, oder den Rechner runterfahren - würde viel mögliche Spuren vernichten.
Für echte Incident Response müsste mit LiMe der RAM-Inhalt gesichert werden! Ich vermute es ist ein Linux, also von jemandem mit root rechten ... Ich kann dann gern mir den Dump ansehen und nach Spuren suchen ... LG, Martin > Am 30.12.2016 um 14:28 schrieb L. Aaron Kaplan <[email protected]>: > > Hallo alle, > > wir haben schlechte Nachrichten. In meiner Arbeit (CERT.at) haben wir > erfahren, dass das US-CERT vor kurzem die sogenannten "Indicators of > Compromise (IoC)" - also das sind IP Adressen, MD5 hashes von malware, Ara > rules, etc. veröffentlicht hat. > > Öffentlich bekannte infos dazu: > > https://www.us-cert.gov/security-publications/GRIZZLY-STEPPE-Russian-Malicious-Cyber-Activity > PDF Report: > > https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296A_GRIZZLY%20STEPPE-2016-1229.pdf > IoC Liste: > https://www.us-cert.gov/sites/default/files/publications/JAR-16-20296A.csv > (dort nach "Austria" suchen. "C2" steht fuer "C&C" - also command & control). > > Was wissen wir somit? > ====================== > Der marvin war (laut Behauptung) in einem bestimmten Zeitraum (oder evtl. > noch immer?) ein C&C Server. Also er hat (vermutlich) den Angreifern gedient, > um Kommandos an infizierte Systeme zu senden und / oder Daten abzuholen. > > Wann ist das passiert? > ======================= > Wir kennen den Zeitraum nicht. Dazu habe ich gerade eine Anfrage > rausgeschickt. > Die Behauptung, dass der Marvin C&C Server ist/war kam ohne Zeitstempel. Das > heisst, es kann noch immer der Fall sein oder es war in der Vergangenheit. > Was wir aus der Vergangenheit wissen, ist dass er einmal kurz vor Weihnachten > 2010 gehackt wurde (exim4 bug). Wir haben ihn damals sofort analysiert und > aufgeräumt. Vielleicht bezieht sich der Report vom US-CERT auf diesen > Zeitraum. > Wenn wir Pech haben, haben wir trotz intensiver Suche kurz vor Weihnachten > 2010 etwas übersehen. > Wie gesagt - eine Anfrage, in welchem Zeitraum das passiert ist, läuft gerade. > > Was ist somit potentiell betroffen? > =================================== > > Services: > * billing > * members DB > * billing DB > * housing members DB > * ftp service fuer die cam > * DNS resolver > * netflow aggregator > * whois service > * frontend housing , frontend wien > ... (mehr noch) > > > Was sind unsere nächsten Schritte? > ================================== > > 1. Euch einmal verstaendigen, dass das passiert ist (DONE) > 2. Analyse und weitere Infos zusammentragen > 3. Ein Konzept machen, wie wir den marvin migrieren (migration beinhaltet neu > machen) > 4. Umsetzung > 5. Regelmäßiges Testen/Review des Konzeptes > > > Wie betrifft das euch? > ====================== > > Potentiell sind user Daten & Passwoerter aus der marvin Kunden DB > abgeflossen. Wir koennen es derzeit nicht ausschliessen > > Wer ist Schuld? > =============== > Diese Frage ist zwar sehr verlockend aber in einem best-effort Netz eher > sinnlos. > Was man aber *nicht* machen darf , ist zur Tagesordnung über zu gehen und das > Problem zu ignorieren. > Wenn du dich gut auskennst und uns helfen kannst, wären wir über Hilfe sehr > dankbar. > > > > Mehr Infos, sobald wir diese haben. Mir ist das wichtig, dass dieses Thema > transparent behandelt wird. > > lg, > a. > > > (diese Mail wurde reviewed von Clemens, Paul aus dem Vorstand) > > > -- > // CERT Austria > // L. Aaron Kaplan <[email protected]> > // T: +43 1 505 64 16 78 > // http://www.cert.at > // Eine Initiative der nic.at GmbH > // http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg > > -- > Wien mailing list > [email protected] > https://lists.funkfeuer.at/mailman/listinfo/wien -- Wien mailing list [email protected] https://lists.funkfeuer.at/mailman/listinfo/wien
