Toon posts:

Zombie-PC (Gebruikt door botnet voor DDos aanvallen)

Pagina: 1
Acties:

vrijdag 16 oktober 2015 09:45

Acties:
  • 0 Henk 'm!
  • Darkfreak
  • Registratie: Februari 2008
  • Laatst online: 25-11-2024

Darkfreak

www.n1ntendo.nl

Topicstarter
Dage beste mede-tweakers,

Ik zit met een klein probleempje, en hoop dat jullie mij kunnen helpen :).

Wij zijn in het bezit van 3 IP adressen (2 publiek, 92 en 84, waarvan 1 normaal niet in gebruik, 1 virtuele server, 93).
Twee weken terug kregen wij een melding dat vanuit ons publieke IP, 92, een DDos aanval uitgevoerd werd en dat ons IP dus geblocked werd via de XBL-lijst.

We zaten rond die tijd ook met een cryptoware infectie. Die is inmiddels verholpen.
IP gewisseld naar het niet-actieve IP en we dachten 'Zo, alles goed.'

Nu kregen wij gister de melding dat het tweede publieke IP, 84, ook een DDos aanval uitgevoerd heeft.
We vermoeden (gezien de tijd van de aanval en het feit dat er niemand was op kantoor behalve ik) dat het een van de cursisten die er op donderdag is (met eigen laptop) is die besmet is.

Tot slot kregen wij een melding dat vannacht ook nog eens een DDos aanval vanuit het IP van de virtuele server, 93, uitgevoerd werd. Deze server draait virtueel op onze gewone server. Heeft een eigen netwerkkaart en eigen rechtstreekse verbinding op de glasvezelswitch die rechtstreeks naar buiten gaat.
De server is verder niet toegankelijk en wordt nooit op ingelogd (hier draait een betaalserver die met een PIN-terminal verbonden is).


Nou zijn mijn vragen:
  1. Wat kan ik het beste gebruiken om een dusdanige besmetting te detecteren (atm Malware Bytes)?
  2. Hoe is het mogelijk dat de virtuele server (waar je niet bij kunt) besmet geraakt is?
  3. Tips om dit in toekomst te voorkomen (ook met het oog op klanten en cursisten met eigen hardware)?

Volg www.n1ntendo.nl voor alles Nintendo! (>'-')> <('-'<) ^(' - ')^ <('-'<) (>'-')> ... (╯°□°)╯︵ ┻━┻

vrijdag 16 oktober 2015 09:58

Acties:
  • 0 Henk 'm!
  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

Tja, wat draait er op die servers?

Maak je niet druk, dat doet de compressor maar

vrijdag 16 oktober 2015 10:06

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 14:11

Thralas

Darkfreak schreef op vrijdag 16 oktober 2015 @ 09:45:
Twee weken terug kregen wij een melding dat vanuit ons publieke IP, 92, een DDos aanval uitgevoerd werd en dat ons IP dus geblocked werd via de XBL-lijst.
Van wie? Die partij kan ongetwijfeld ook aangeven hoe het verkeer eruitziet en wanneer het is waargenomen. Dat kan goede aanwijzingen bieden om de veroorzaker op te sporen.
Nou zijn mijn vragen:
Wat kan ik het beste gebruiken om een dusdanige besmetting te detecteren (atm Malware Bytes)?[/li]
Je moet eerst weten waar je naar zoekt. Misconfigured NTP of DNS-servers zijn ook favoriet voor DDoS attacks en hebben niets met malware te maken.

Als je de mogelijkheid hebt om verkeer zo dicht mogelijk tegen de switch/router te capturen (port mirror?) dan kan dat ook handig zijn om de veroorzaker te achterhalen (in een geNAT netwerk). Ook dan is het wel weer handig als je weet waar je naar zoekt.
Hoe is het mogelijk dat de virtuele server (waar je niet bij kunt) besmet geraakt is?[/li]
Wedervraag: is die 'glasvezelswitch' echt een switch en levert hij 1 IP per poort van een upstream router, of is het stiekem toch een router? Dan zou ik ook zeker de router nalopen, mits in eigen beheer..
Tips om dit in toekomst te voorkomen (ook met het oog op klanten en cursisten met eigen hardware)?[/li]
Hangt er helemaal vanaf wat de precieze oorzaak is.

[ Voor 9% gewijzigd door Thralas op 16-10-2015 10:09 ]

vrijdag 16 oktober 2015 10:15

Acties:
  • 0 Henk 'm!
  • Darkfreak
  • Registratie: Februari 2008
  • Laatst online: 25-11-2024

Darkfreak

www.n1ntendo.nl

Topicstarter
DJMaze schreef op vrijdag 16 oktober 2015 @ 09:58:
Tja, wat draait er op die servers?
Op de main-server enkel file en printservices en een portal.
Op de virtuele server draait XAFAX betaalservices.
Thralas schreef op vrijdag 16 oktober 2015 @ 10:06:
Van wie? Die partij kan ongetwijfeld ook aangeven hoe het verkeer eruitziet en wanneer het is waargenomen. Dat kan goede aanwijzingen bieden om de veroorzaker op te sporen.
Onze netwerkbeheerder. Zie onderstaand
Je moet eerst weten waar je naar zoekt. Misconfigured NTP of DNS-servers zijn ook favoriet voor DDoS attacks en hebben niets met malware te maken.
Dit is het bericht wat we kregen ('ons' IP even vervangen met 123.123.123.123):
Received: by mx1.parkstad-it.nl (XCS) id 23B002160848F826; Thu, 15 Oct 2015
11:27:37 +0200 (CEST)
Received: from mx02.as38915.net (mx02.as38915.net [5.9.210.90]) (using TLSv1
with cipher DHE-RSA-AES256-SHA (256/256 bits)) (No client certificate
requested) by mx1.parkstad-it.nl (XCS) with ESMTPS id FDDD01174478D2A9 for
<hostmaster@as38915.nl>; Thu, 15 Oct 2015 11:27:36 +0200 (CEST)
Received: from spronto.0x13a.net (us01.mail.0x13a.net [69.60.115.89]) (using
TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client
certificate requested) by mx02.as38915.net (Postfix) with ESMTPS id
4EC5928076B for <hostmaster@as38915.nl>; Thu, 15 Oct 2015 11:27:23 +0200
(CEST)
Received: from spronto.0x13a.net (localhost [127.0.0.1]); by spronto.0x13a.net
(OpenSMTPD) with ESMTP id 5a179434; for <hostmaster@as38915.nl>; Thu, 15 Oct
2015 09:27:20 +0000 (UTC)
Received: from localhost (spronto.0x13a.net [local]); by spronto.0x13a.net
(OpenSMTPD) with ESMTPA id 79b5baba; for <hostmaster@as38915.nl>; Thu, 15 Oct
2015 09:27:14 +0000 (UTC)
From: "no_reply@openbl.org" <no_reply@openbl.org>
To: "hostmaster@as38915.nl" <hostmaster@as38915.nl>
Subject: OpenBL.org: SSH bruteforce report for 123.123.123.123
Thread-Topic: OpenBL.org: SSH bruteforce report for 123.123.123.123
Thread-Index: AQHRByu6fwuRDSyiDkaVRKepRFcS7Q==
Date: Thu, 15 Oct 2015 09:27:14 +0000
Message-ID: <3041570324766950462.enqueue@spronto.0x13a.net>
Content-Language: nl-NL
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Organization-AuthSource: ict4022.ict4.lan
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
dkim-signature: v=1; a=rsa-sha1; c=relaxed; d=openbl.org; h=date
:message-id:from:to:subject:content-type; s=mail; bh=rQTfta49D0A
UJ9WzemGwg4+kFGw=; b=QS2vEx8rcpPbs6APk3/hvaibd7ENATnEkqpVSqmpzjA
Ngk88MtRTUmqfXXVcPAbolobizEAZry9ZKXMJdR+eUDPf/Q3w48+bRbgJtBH1wzp
s3mxLT/Xwe5W0JM47RaUyU8J/pkaF/pmQ1gDvsn3Na4r4nEYQNpv08Rjht37gb54 =
domainkey-signature: a=rsa-sha1; c=nofws; d=openbl.org; h=date
:message-id:from:to:subject:content-type; q=dns; s=mail; b=knmZo
qgm7hQLo90yIWHINtczlICKZAK21By7TWYqgr3llTbRaL3FeZlyZiTThlcuXmNiX
RvFk1oJcKmZQ6HEUTbXkZCVno6p4vNa9vsA5iW1RLweRMZ1tcYJr8jRSPebUiT6w
kdgNE+Wc+rKjX2QMmeHsqJMYUtTqFHXnoUn8lk=
x-bti-antispam: score:18,sta:19/031,dnsbl:off,sw:passed,bsn:none,spf:off,bsctr:passed/1,
dk:off,pbmf:none,ipr:0/1,trusted:no,ts:no,bs:no,ubl:passed,
spamrules:passed,dkim:passed
received-spf: none
x-esetresult: clean, is OK
x-esetid: 07DDD4397EAE3736579C89
x-sta-notspam: ssh url:lists blacklist firewall source
x-sta-spam: person: country: permanently spec:disguised url:ripe
x-sta-metric: 19 (engine=031)
Content-Type: text/plain; charset="utf-8"
Content-ID: <C8428F36F80909488E685A2AA434BFFA@heerlen.nl>
Content-Transfer-Encoding: base64
MIME-Version: 1.0
Wedervraag: is die 'glasvezelswitch' echt een switch en levert hij 1 IP per poort van een upstream router, of is het stiekem toch een router? Dan zou ik ook zeker de router nalopen, mits in eigen beheer..
De Switch is niet van ons en we kunnen hier ook niet in. Hij routeerd niets, twee poorten zijn geconfigureerd voor internetverkeer op de glasvezel-lijn, de overige poorten fungeren als doodgewone switchpoorten. Voor zover ik weet worden de IPs geconfigureert door Parkstad ICT aan hun kant, en verbindt onze switch enkel op hun netwerk (van de gemeente, en via daar door, lang verhaal)

Volg www.n1ntendo.nl voor alles Nintendo! (>'-')> <('-'<) ^(' - ')^ <('-'<) (>'-')> ... (╯°□°)╯︵ ┻━┻

vrijdag 16 oktober 2015 10:25

Acties:
  • 0 Henk 'm!
  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

Darkfreak schreef op vrijdag 16 oktober 2015 @ 10:15:
[...]
Op de main-server enkel file en printservices en een portal.
Op de virtuele server draait XAFAX betaalservices.
Goed, je bent nog steeds niet duidelijk. GNU/Linux? FreeBSD? Windows 2003? Windows 2012? Exchange server?

En dat bericht wat je post zijn alleen maar de mail mime headers.
Enig idee wat je doet?

Maak je niet druk, dat doet de compressor maar

vrijdag 16 oktober 2015 10:32

Acties:
  • 0 Henk 'm!
  • Darkfreak
  • Registratie: Februari 2008
  • Laatst online: 25-11-2024

Darkfreak

www.n1ntendo.nl

Topicstarter
DJMaze schreef op vrijdag 16 oktober 2015 @ 10:25:
[...]


Goed, je bent nog steeds niet duidelijk. GNU/Linux? FreeBSD? Windows 2003? Windows 2012? Exchange server?

En dat bericht wat je post zijn alleen maar de mail mime headers.
Enig idee wat je doet?
Ow, sorry, de eerste koffie moet nog beginnen te werken :P.
Windows Server 2008 R1 (zowel host als ook virtueel).

Verder nope, dat is het enige bericht wat de Parkstad ICT ons geeft =/ ..
Inmiddels wel een mail gestuurd voor meer informatie. Dat is mijn collega momenteel aan het regelen iig.

In mijn 5 jaar hier is zoiets nog nooit voorgevallen hier, dus dit is voor mij even nieuw territorium :P

Volg www.n1ntendo.nl voor alles Nintendo! (>'-')> <('-'<) ^(' - ')^ <('-'<) (>'-')> ... (╯°□°)╯︵ ┻━┻

vrijdag 16 oktober 2015 10:37

Acties:
  • 0 Henk 'm!
  • Darkfreak
  • Registratie: Februari 2008
  • Laatst online: 25-11-2024

Darkfreak

www.n1ntendo.nl

Topicstarter
Bij nadere inspectie van de virtuele server zag ik dat er meuk zoals 'Betfair Poker' op stond =/.
De enige die toegang heeft tot die server, behalve mijn collega en ik, is de beheerder van de betaalserver die er onderhoud (remote) op uitvoert. Zag ook dat Java geupdate werd (oude versies niet verwijderd). En Malware-bytes gaf een shitload aan meldingen voor toolbars weer.

Vermoed dat dus een of ander faalhaasje van die betaalserver vrolijk de nieuwste java versie erop gezet heeft met alle reclamezooi die erbij geleverd wordt (maar goed, ik betwijfel dat via dat DDos aanvallen uitgevoerd kunnen worden?)

Volg www.n1ntendo.nl voor alles Nintendo! (>'-')> <('-'<) ^(' - ')^ <('-'<) (>'-')> ... (╯°□°)╯︵ ┻━┻

vrijdag 16 oktober 2015 11:44

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 14:11

Thralas

Darkfreak schreef op vrijdag 16 oktober 2015 @ 10:15:
Dit is het bericht wat we kregen ('ons' IP even vervangen met 123.123.123.123):
Even snoeien:
Subject: OpenBL.org: SSH bruteforce report for 123.123.123.123
Lijkt me duidelijk. Er komen SSH bruteforce attempts uit je netwerk. Dat is geen DDoS, dus ik weet niet of je nog andere berichten hebt gehad. En het een sluit het ander natuurlijk niet uit.

Kwestie van verkeer voor je router/switch capturen en filteren op poort 22, dan loop je er vanzelf tegenaan . Alternatief: op zoveel mogelijk devices iets van netstat runnen in de hoop daar veel connecties naar :22 tegen te komen.

vrijdag 16 oktober 2015 12:39

Acties:
  • 0 Henk 'm!
  • Darkfreak
  • Registratie: Februari 2008
  • Laatst online: 25-11-2024

Darkfreak

www.n1ntendo.nl

Topicstarter
Thralas schreef op vrijdag 16 oktober 2015 @ 11:44:
[...]
Lijkt me duidelijk. Er komen SSH bruteforce attempts uit je netwerk. Dat is geen DDoS, dus ik weet niet of je nog andere berichten hebt gehad. En het een sluit het ander natuurlijk niet uit.

Kwestie van verkeer voor je router/switch capturen en filteren op poort 22, dan loop je er vanzelf tegenaan . Alternatief: op zoveel mogelijk devices iets van netstat runnen in de hoop daar veel connecties naar :22 tegen te komen.
Ja ik vond het ook al een beetje frappant dat het een 'DDos' aanval zou moeten zijn gezien de header het over een bruteforce had.

Heb zelf een DD-WRT router draaien hier. Zie daar de onder de security-tab 'Impede WAN DoS/Bruteforce' met o.a. 'Limit SSH Access' .. Nou lijkt het mij waarschijnlijk een domme vraag, maar just to be sure: Dit gaat uiteraard over incoming Bruteforce attacks, niet over uitgaande, right :') ?

Volg www.n1ntendo.nl voor alles Nintendo! (>'-')> <('-'<) ^(' - ')^ <('-'<) (>'-')> ... (╯°□°)╯︵ ┻━┻

vrijdag 16 oktober 2015 12:45

Acties:
  • 0 Henk 'm!
  • Darkfreak
  • Registratie: Februari 2008
  • Laatst online: 25-11-2024

Darkfreak

www.n1ntendo.nl

Topicstarter
Nou zie ik ook dat het account van de beheerder voor de betaalserver een behoorlijk eenvoudig wachtwoord heeft. Als ik Bruteforce attacks goed begrijp: Is het mogelijk dat er een bruteforce op de virtuele server uitgevoerd is, het wachtwoord van het account van de beheerder achterhaald is, en daardoor de virtuele machine nu verdere bruteforces probeert uit te voeren?

Volg www.n1ntendo.nl voor alles Nintendo! (>'-')> <('-'<) ^(' - ')^ <('-'<) (>'-')> ... (╯°□°)╯︵ ┻━┻

vrijdag 16 oktober 2015 13:16

Acties:
  • 0 Henk 'm!
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 05-09 17:55

lordgandalf

Ik zou zeggen data veiligstellen en herinstalleren maar zowel fysieke als virtuele server zeker als iemand een zwak wachtwoord heeft en er al meuk is geinstalleerd. Die machine is niet meer 100% te vertrouwen en gezien dat het een payment server is lijkt het me niet goed om die te gebruiken als hij niet te vertrouwen is.
Verder zou ik even het
Voor het stukje cursisten zou ik een gast lan bouwen met wifi en eigen internet access desnoods een ADSL lijntje speciaal voor klanten. Die lijn plat hebben de klanten pech maar is de productie niet verstoord

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq