botnet(s) gevonden, wat te doen? - Privacy en beveiliging

vrijdag 13 maart 2009 12:13

Acties:

Topicstarter

Ik kwam op m'n werk een virus tegen, na verwijderen heb ik dit in een VM gedraaid, verbind naar diverse IRC servers.
Na zelf met Tor erheen verbinden zie ik dingen zoals
VNC3.8 CRACKED (<hostnaam>:) xxx.xxx.xxx.xxx - authbypass
en
<username> has changed the topic to: .msn.stop|.msn.msg u'r foto?? lol

vrijdag 13 maart 2009 12:21

Acties:

mr_obb

Lakse Perfectionist

Je kan beginnen met uitzoeken bij welke provider de besmette website zit en een abuse-melding doen bij de betreffende provider.

Daarnaast kan je proberen te achterhalen bij welke provider het IP-adres vandaan komt en ook daar een abuse-melding doen.

Dan kan je nog het betreffende IRC-kanaal bezoeken en in de gaten houden om er achter te komen of er nog meer besmette websites zijn.

vrijdag 13 maart 2009 12:57

Acties:

LuckY

Ga je dit op elke security forum zoeken.

Zoek uit wat de provider is en de reputatie ervan, kijk wat voor botnet er gebruikt wordt en test commando's uit .....

Dus kijk wie het host en waarom en probeer ze te notificeren van het probleem.

Eerst Netwerk provider .

Paas mij anders maar wat adresjes kan ik van et weekend wat onderzoek doen.

[ Voor 12% gewijzigd door LuckY op 13-03-2009 12:57 ]

vrijdag 13 maart 2009 13:13

Acties:

Zaggy

Topicstarter

de kanalen/servers zijn wel redelijk dichtgetimmerd, je komt er alleen met wachtwoord, userlijst is leeg, als gewone gebruiker kan je niks zeggen.
alleen de commando's van de ops en reacties van bots komen af en toe langs.
het zijn geen standaard IRC netwerken.
ik heb de operator al gesproken, komt blijkbaar uit macedonie, de servers draaien in de US.
ik ga es inventariseren van welke sites hij bot updates draait en wat de providers zijn

vrijdag 13 maart 2009 13:31

Acties:

LuckY

Damn zelfde reacties op meerdere fora

Het is niet heel boeiend tbh, iedereen kan het zelf onderzoeken.
Als je is met concrete informatie komt.