> On 2 Jan 2017, at 18:33, L. Aaron Kaplan <[email protected]> wrote:
>
> ## Zusammenfassung
>
> Die einfachste Erklärung ist, dass der marvin (193.238.157.16) unsicher war,
> gehackt wurde und im Zeitraum Juni 2016 (von wem auch immer) missbraucht
> wurde. Ob das wirklich der Hack gegen den DNC (Democratic National Congress)
> war oder nicht, koennen wir von hier aus nicht feststellen.
> Die PHP shell ist definitiv verdächtig.
>
> More work needed. Forensik kann lange dauern.
Danke für das Update, und super dass sich Adrian und Martin auch Zeit nehmen
für uns.
Hab ich die derzeitige Faktenlage richtig verstanden:
1) Has machine been compromised? —> YES (php shell found)
2) Start date —> high confidence for “at least since June 2016”?
Lässt sich sagen wie *wahrscheinlich* es ist dass noch Hinweise auf
Source/Destination gefunden werden?
3) 1-hop source IPs: eher wahrscheinlich?
4) Destination IPs: extrem unwahrscheinlich?
Damit wir (bis zum Abschluss der Forensik) auf Fragen zumindest statistische
Antworten geben können.
danke
-paul
--
Discuss mailing list
[email protected]
https://lists.funkfeuer.at/mailman/listinfo/discuss
