ボットネット制御ホストをキャプチャすることができましたが、どうすればよいですか?
数日前、私のWebホスティング顧客の1人がFTPログインを危険にさらし、攻撃者は彼のindex.phpファイルをいくつかの追加コードを含むように変更し、約12,000の他のボットがPOST操作以降
PHP=しかし天才ではありませんが、POSTに含まれている(暗号化された)データを取得し、別のファイルの内容と一緒に復号化します。ホストに残され、HTTP 503ヘッダーにパックされた応答を送信します。
行動から、このシステムがボットネットの制御ホストとして設定されたと感じます。
PHPコードのコピーと、ボットの1つがPOSTを無効にしようとした後のパケットキャプチャを保存しました。サイト...しかし、私はそれで何をしますか?いまいましいことをさらに分析する時間や専門知識がないので、どのグループに転送する必要がありますか?
ビジネス上の理由で分析したい場合は、適切なスキルを持つ法医学インシデントレスポンスコンサルタントを探す必要があります(専門用語:「ログ分析担当者」)。これらは一般に費用がかかります。
ただし、ほとんどのボットネットの展開は標的にされておらず、非常に広まっていることに注意してください。まだよく知られておらず、他の人に影響を与えることについて、学ぶことはおそらくそれほどありません。高度な脅威に対処するグループは、この種のことにはそれほど関心がありませんが、AVベンダーとの運が良ければよいでしょう。シマンテック、ソフォスなどは、この種のデータを光沢のある白い紙で照合したい場合があります。
最も興味深いログは、ボットネットが実際にシステムを悪用したときに疑わしいトラフィックが始まる直前のログです。これにより、攻撃の事後分析が可能になります。しかし、私は驚くべき超能力を使用して、何かが適切にパッチされておらず、ボットが侵入した方法を主張します。
補遺:神々の愛のために、あなたのシステム(またはあなたのシステム上の機密データ)へのアクセス権をこのサイトのランダムな人に与えないでください。
[〜#〜] fbi [〜#〜] 、またはあなたが住んでいるこの種のコンピュータ犯罪を管轄する人に連絡してください。システムで行われていることはかなり深刻な犯罪であり、多くの場所で、故意に犯罪の報告を怠ったこと自体が犯罪です。あなたが望む最後のことは、無実の犠牲者(あなた自身とあなたがホストしているあなたのクライアント)が法的責任にさらされることです。
法執行機関への連絡に加えて、マシンをロックダウンし、将来のインシデントについて警告するコントロールを導入します。 Red Sky Alliance のような組織に連絡/参加することを検討してください。システムやデータへのアクセス権を誰にも付与したくない(特にインターネット上のランダムな人々)のは望ましくありませんが、可能であれば、管理されたフォーラムで共有する必要があります。あなたと他の参加者の両方が恩恵を受けるでしょう。共有する「正当な」人々を探す他の潜在的な場所は [〜#〜] sans [〜#〜] かもしれませんし、多分 [〜#〜] osce [〜#〜 ] あなたのプロフィールからオランダにいるように見えるので、より適切でしょう。
まず、組織内のインシデントレスポンスチームまたは関連するセキュリティチームに報告します。
次に、ウェブサーバーのログを確認できます。これにより、誰がそれにアクセスしていて、すべてのWebリクエストが行われたか(URLパスが表示されているか)に関する膨大な手がかりが得られます。
ライブデータをキャプチャする場合は、tcpdumpやEtherealなどのパケットアナライザ/スニファユーティリティを使用して、関連するインターフェイスでリッスンします。その後、フィルターを使用してソース/宛先を確認します。これにより、リモートの悪意のあるサーバーとユーザーのサーバーとの間で行われているすべての通信が通知されます。
自問したいことの1つは、「ここにあなたの動機は何ですか?」です。
例えば1.再発を防ぐために、事件がどのように起こったかを把握します。 2.責任の理由から身を守る3.悪者を罰する4.悪用などを知って、セキュリティ研究者を支援する.
ログインのパスワードがクライアント側で危険にさらされているように見えるので、私はそれが#1であるとは思えません。 #3は非常に離れているようです。本当に斬新なものに偶然出会わない限り、#4もあまりありそうにありません。
だから、私は報告を提出すると思います。多くの場合、地元の警察署が提出しますが、調査するスキルが不足している可能性があります。書類を残して書類を残してください