Lieber Aaron, danke für die Info.
Der von Euch eingeschlagene Weg der Transparenz erscheint uns richtig und hat unsere Zustimmung LG und guten Rutsch Sven Am 30.12.2016 um 14:28 schrieb L. Aaron Kaplan: > Hallo alle, > > wir haben schlechte Nachrichten. In meiner Arbeit (CERT.at) haben wir > erfahren, dass das US-CERT vor kurzem die sogenannten "Indicators of > Compromise (IoC)" - also das sind IP Adressen, MD5 hashes von malware, Ara > rules, etc. veröffentlicht hat. > > Öffentlich bekannte infos dazu: > > https://www.us-cert.gov/security-publications/GRIZZLY-STEPPE-Russian-Malicious-Cyber-Activity > PDF Report: > > https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296A_GRIZZLY%20STEPPE-2016-1229.pdf > IoC Liste: > https://www.us-cert.gov/sites/default/files/publications/JAR-16-20296A.csv > (dort nach "Austria" suchen. "C2" steht fuer "C&C" - also command & > control). > > Was wissen wir somit? > ====================== > Der marvin war (laut Behauptung) in einem bestimmten Zeitraum (oder evtl. > noch immer?) ein C&C Server. Also er hat (vermutlich) den Angreifern gedient, > um Kommandos an infizierte Systeme zu senden und / oder Daten abzuholen. > > Wann ist das passiert? > ======================= > Wir kennen den Zeitraum nicht. Dazu habe ich gerade eine Anfrage > rausgeschickt. > Die Behauptung, dass der Marvin C&C Server ist/war kam ohne Zeitstempel. Das > heisst, es kann noch immer der Fall sein oder es war in der Vergangenheit. > Was wir aus der Vergangenheit wissen, ist dass er einmal kurz vor Weihnachten > 2010 gehackt wurde (exim4 bug). Wir haben ihn damals sofort analysiert und > aufgeräumt. Vielleicht bezieht sich der Report vom US-CERT auf diesen > Zeitraum. > Wenn wir Pech haben, haben wir trotz intensiver Suche kurz vor Weihnachten > 2010 etwas übersehen. > Wie gesagt - eine Anfrage, in welchem Zeitraum das passiert ist, läuft gerade. > > Was ist somit potentiell betroffen? > =================================== > > Services: > * billing > * members DB > * billing DB > * housing members DB > * ftp service fuer die cam > * DNS resolver > * netflow aggregator > * whois service > * frontend housing , frontend wien > ... (mehr noch) > > > Was sind unsere nächsten Schritte? > ================================== > > 1. Euch einmal verstaendigen, dass das passiert ist (DONE) > 2. Analyse und weitere Infos zusammentragen > 3. Ein Konzept machen, wie wir den marvin migrieren (migration beinhaltet neu > machen) > 4. Umsetzung > 5. Regelmäßiges Testen/Review des Konzeptes > > > Wie betrifft das euch? > ====================== > > Potentiell sind user Daten & Passwoerter aus der marvin Kunden DB > abgeflossen. Wir koennen es derzeit nicht ausschliessen > > Wer ist Schuld? > =============== > Diese Frage ist zwar sehr verlockend aber in einem best-effort Netz eher > sinnlos. > Was man aber *nicht* machen darf , ist zur Tagesordnung über zu gehen und das > Problem zu ignorieren. > Wenn du dich gut auskennst und uns helfen kannst, wären wir über Hilfe sehr > dankbar. > > > > Mehr Infos, sobald wir diese haben. Mir ist das wichtig, dass dieses Thema > transparent behandelt wird. > > lg, > a. > > > (diese Mail wurde reviewed von Clemens, Paul aus dem Vorstand) > > > -- > // CERT Austria > // L. Aaron Kaplan <[email protected]> > // T: +43 1 505 64 16 78 > // http://www.cert.at > // Eine Initiative der nic.at GmbH > // http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg > > > > -- > Wien mailing list > [email protected] > https://lists.funkfeuer.at/mailman/listinfo/wien
-- Wien mailing list [email protected] https://lists.funkfeuer.at/mailman/listinfo/wien
