Onbekend botnet; advies gevraagd - Privacy en beveiliging

dinsdag 7 december 2010 12:18

Acties:

Topicstarter

Ik heb hier op ons interne netwerk naar alle waarschijnlijkheid een botnet probleem. Een aantal computers probeert op een IRC-poort contact te leggen met een IP-adres in Rusland.
De gebruikers van de systemen zijn het in ieder geval niet; daar zitten geen IRC-gebruikers bij.

Een aantal machines heb ik geprobeerd dmv een (NTFS based) image op te schonen. Helaas ben ik er inmiddels achter dat dat geen effect heeft gehad. Viel achteraf gezien ook wel te verwachten eigenlijk.

Ik weet op het moment vrijwel niets van de bewuste infectie af, behalve dat het blijkbaar in het MBR huist en op poort 6667 verbinding probeert te maken naar IP adres IP adressen zijn persoonsgegevens.
Dat adres behoort tot de pool van een hoster in Rusland, die als niet al te scrupuleus te boek staat voor zover ik heb gezien via Google.

Kortom; ik kan wat advies gebruiken. Hoe kom ik er achter wat dit virus doet en hoe kom ik er vanaf?
Het formatteren van de schijf zou kunnen helpen, lijkt me, maar misschien mis ik daar ook iets?

Alvast bedankt voor het meedenken.

[ Voor 2% gewijzigd door iisschots op 07-12-2010 12:27 ]

dinsdag 7 december 2010 12:22

Acties:

fvdberg

je kan natuurlijk een netwerk analyzer inzetten als wireshark
en probeer een kanaalnaam te achterhalen

probeer eens met mirc te verbinden met dat ip en ga naar dat kanaal, kijk er eens rond en log de ip's van alles wat je ziet. let op! er kunnen virtuele hostnamen gebruikt zijn.

dit kan je tijdens een eventuele aangifte gebruiken

heb je dit gedaan, geef dan een firewall regel op dat alles naar dat ip/poort gedropt moet worden.

[ Voor 13% gewijzigd door fvdberg op 07-12-2010 12:41 ]

dinsdag 7 december 2010 12:28

Acties:

iisschots

Voor zover mij bekend zijn IP adressen persoonsgegevens. Lijkt me daarom niet verstandig deze openbaar te maken, daarom ook uit je post gehaald.

Hackerspace in Friesland | www.frack.nl | Bezig met opzetten, help mee!

dinsdag 7 december 2010 12:30

Acties:

CherandarGuard

Topicstarter

iisschots schreef op dinsdag 07 december 2010 @ 12:28:
Voor zover mij bekend zijn IP adressen persoonsgegevens. Lijkt me daarom niet verstandig deze openbaar te maken, daarom ook uit je post gehaald.

Ah, sorry. Het leek me zinnige informatie mbt dit specifieke probleem, maar ik zie je logica.

dinsdag 7 december 2010 12:32

Acties:

CyBeR

💩

iisschots schreef op dinsdag 07 december 2010 @ 12:28:
Voor zover mij bekend zijn IP adressen persoonsgegevens. Lijkt me daarom niet verstandig deze openbaar te maken, daarom ook uit je post gehaald.

Dat is niet iets dat je als blanket-policy over elk IP-adres kunt stellen.

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 7 december 2010 12:44

Acties:

Verwijderd

iisschots schreef op dinsdag 07 december 2010 @ 12:28:
Voor zover mij bekend zijn IP adressen persoonsgegevens. Lijkt me daarom niet verstandig deze openbaar te maken, daarom ook uit je post gehaald.

Hier is nog steeds het een en ander over te doen , gezien het feit dat dit IP adress waarschijnlijk "bedrijfsmatig" wordt gebruikt zal dit niet onder persoonsgegevens vallen.

Back on topic de IRC calls worden door de bots gedaan om in contact te komen met de controller.
Goed mogelijk dat deze al uit de lucht is , echter het beste is gewoon de PC's te wipen en opnieuw in te richten.
Of het doen van aangifte nog meerwaarde heeft durf ik niet te zeggen.

dinsdag 7 december 2010 12:54

Acties:

CherandarGuard

Topicstarter

Even voor de goed orde, ik waardeer het goedbedoelde advies mbt aangifte, maar ik was niet echt van plan in die richting te werken. Ik zie er niet veel nut in om aangifte te doen, ik verwacht niet dat daar ooit iets mee gedaan wordt, hier of in Rusland.

Wat ik zelf vooral interessant vind is het volgende;

- heeft iemand ervaring met deze specifieke infectie? (wat lastig te identificeren zo, zonder z'n call-home IP, dus ik verwacht hier niet veel feedback op)
- hoe kom ik er vanaf? (zoals ik zei, een format+reimage leek me een mogelijke oplossing, maar misschien zie ik iets over het hoofd?)
- hoe kom ik er meer over te weten? (niet cruciaal, maar leuk om er iets over te leren, lijkt me.)

Voor Wireshark heb ik de gelegenheid nog niet gehad. Ik zal eens een van de geinfecteerde machines opzoeken en Wireshark er op loslaten. Benieuwd of ik iets bijzonders tegenkom.

dinsdag 7 december 2010 13:03

Acties:

Isdatzo

iisschots schreef op dinsdag 07 december 2010 @ 12:28:
Voor zover mij bekend zijn IP adressen persoonsgegevens. Lijkt me daarom niet verstandig deze openbaar te maken, daarom ook uit je post gehaald.

Een persoonsgegeven is een gegeven dat herleidbaar is tot een individueel natuurlijk persoon. Dat lijkt me in dit geval niet het geval.

dinsdag 7 december 2010 13:08

Acties:

Erwinvz1

Om welke windows versie gaat het hier?
Alle updates geinstalleerd?
Firewall van clients op maximaal gesloten gezet voordat je ze in het netwerk zet? (geen ene port open)

Het kan zomaar een virus zijn dat van een andere werkstation/server/apparatuur overspringt naar jou werkstations.

[ Voor 6% gewijzigd door Erwinvz1 op 07-12-2010 13:14 ]

dinsdag 7 december 2010 13:09

Acties:

Standeman

Prutser 1e klasse

Heb je na de format wel een nieuw bootrecord aangemaakt? Met iets vergelijkbaars als fdisk /mbr?

Verder kan je nog een hijackthis log draaien en / of een rootkit revealer. In de faq staan wel een aantal links naar tools e.d. die je kan proberen.

The ships hung in the sky in much the same way that bricks don’t.

dinsdag 7 december 2010 13:45

Acties:

CherandarGuard

Topicstarter

Erwinvz1 schreef op dinsdag 07 december 2010 @ 13:08:
Om welke windows versie gaat het hier?
Alle updates geinstalleerd?
Firewall van clients op maximaal gesloten gezet voordat je ze in het netwerk zet? (geen ene port open)

Het kan zomaar een virus zijn dat van een andere werkstation/server/apparatuur overspringt naar jou werkstations.

Het betreft bij de geinfecteerde machines Windows XP. Qua updates zullen ze vrij dichtbij de meest recente zitten.
Interne firewalling is hier eigenlijk vrijwel non-existent. De kans op overspringen is dus inderdaad aanwezig.

Standeman schreef op dinsdag 07 december 2010 @ 13:09:
Heb je na de format wel een nieuw bootrecord aangemaakt? Met iets vergelijkbaars als fdisk /mbr?

Verder kan je nog een hijackthis log draaien en / of een rootkit revealer. In de faq staan wel een aantal links naar tools e.d. die je kan proberen.

Die nieuwe bootrecord heb ik dus niet aangemaakt nee. Bedankt voor de tip, maar weer goed dat ik de vraag hier heb gesteld. Ik wist dat ik iets fout moest doen.

Ik zal ook de FAQ eens doorspitten op zoek naar meer tools.

dinsdag 7 december 2010 14:10

Acties:

lordgandalf

Ik zou de updates los downloaden en de machines los van het netwerk opnieuw inspoelen.
Dit voorkomt dat je virus zich verder verspreid.
Hiernaast is mee kijken met een geinfecteerde machine wel handig leer je meer of de achtergrond van het beestje.

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

dinsdag 7 december 2010 14:17

Acties:

Atmosphere

Je weet naar welk ip de waarschijnlijk bots proberen te verbinden?? Zet zelf een pc'tje neer met dit ip en luister al het verkeer via deze poort af..

Je hebt dan een indicatie wat er verzonden wordt een andere mogelijkheid is het betreffende IP te blacklisten op je firewall of op te nemen in de host tabel.

Het beste is natuurlijk het hierboven al eerder voorgesteld opschonen en opnieuw installeren! Het is verstandig om bij het schonen een shredder te gebruiken welke de schijf volledig overschrijft en vervolgens weer leeghaalt. HEt is aan te raden een niet windows/dos gebasserde tool te gebruiken.

-x(Al is de wereld is nog zo klein. Atmosphere vind hem wel fijn)x-; Sys; t-net

dinsdag 7 december 2010 15:27

Acties:

fvdberg

mwoah een schredder als dban gebruiken lijkt me niet nodig, partititie verwijderen en een fdisk/mbr lijkt me meer dan genoeg. alleen doe dat niet terwijl je vanaf de schijf boot wat niet eens gaat

[ Voor 5% gewijzigd door fvdberg op 07-12-2010 15:27 ]

dinsdag 7 december 2010 20:38

Acties:

Erwinvz1

CherandarGuard schreef op dinsdag 07 december 2010 @ 13:45:
[...]

Het betreft bij de geinfecteerde machines Windows XP. Qua updates zullen ze vrij dichtbij de meest recente zitten.
Interne firewalling is hier eigenlijk vrijwel non-existent. De kans op overspringen is dus inderdaad aanwezig.

[...]

Die nieuwe bootrecord heb ik dus niet aangemaakt nee. Bedankt voor de tip, maar weer goed dat ik de vraag hier heb gesteld. Ik wist dat ik iets fout moest doen.

Ik zal ook de FAQ eens doorspitten op zoek naar meer tools.

Vergeet ook niet de passworden te veranderen als hij eraf is.
Je hebt namelijk een domein en mogelijk staan je passworden gecached wat een rainbow crack mogelijk maakt.

Maar ik denk dat een ddos bot is, die ip adressen (jou range) hackt doormiddel van exploits. (alle pc's opnieuw herstellen met een image??).

Om hoe groot netwerk gaat het hier?

[ Voor 9% gewijzigd door Erwinvz1 op 07-12-2010 20:42 ]

woensdag 8 december 2010 00:22

Acties:

CAPSLOCK2000

zie teletekst pagina 888

De HD schoonmaken moet je natuurlijk wel doen vanaf een systeem dat 100% zeker schoon is.
Een (Linux?) LiveCD kan daarvoor handig zijn.

This post is warranted for the full amount you paid me for it.