Hack des BGP1, mail an Apple und den ISP des Hackers

Magnus Frühling magnus at skorpy.space
Di Feb 14 17:32:54 CET 2017 

Der Einbruch war am 2017 02 12 ; der Traffic Spike / DoS auf Apple war erst am 2017 02 13


> On 14.02.2017, at 17:29, Jürgen Sagurna <sagurna at s3i.de> wrote:
> 
> Hallo Admins,
> 
> hier die IP der Angreifer:
> 104.251.176.63 Port 45206
> 
> 
> Und der dazu entsprechende Auszug aus der auth.log.1 Datei:
> 
> Feb 12 22:42:24 bgp1 sshd[8902]: reverse mapping checking getaddrinfo
> for 63-176-251-104-static.reverse.queryfoundry.net [104.251.176.63]
> failed - POSSIBLE BREAK-IN ATTEMPT!
> 
> Feb 12 22:42:24 bgp1 sshd[8902]: Accepted password for root from
> 104.251.176.63 port 45206 ssh2
> 
> Feb 12 22:42:24 bgp1 sshd[8902]: pam_unix(sshd:session): session opened
> for user root by (uid=0)
> 
> Feb 12 22:42:32 bgp1 sshd[8902]: Received disconnect from
> 104.251.176.63: 11:
> 
> Gruß
> Jürgen
> 
> 
> Am 14.02.17 um 17:00 schrieb Thomas Weißschuh:
>> Hallo alle,
>> 
>> Am Sonntag abend ist unser bgp1 host (Gateway zu FFRL) gehackt worden.
>> Root login über ssh per Passwort war aktiviert und ist geknackt worden.
>> Der Host wurde dann benutzt um das Apple Push Netzwerk zu fluten.
>> 
>> Hier die Mail, die wir an Apple und dem ISP schicken können.
>> 
>> @Magnus kannst du noch die Zeit vom traffic spike eintragen und die IP Adresse
>> von unserer maschine
>> @Jürgen ich habe es verbummelt die IP Adresse vom Angreifer aufzuschreiben.
>> Kannst du die nachliefern?
>> 
>> 	Abuse of Apple Push Network.
>> 
>> 	On 2017-02-13 XX:XX:XXZ our machine with the IP Adress XXX.XXX.XXX.XXX has been
>> 	used to take part in a DDoS against the Apple push network.
>> 	(According to the IPs and ports the malware connected to).
>> 	All traffic to APN from this machine can be regarded as fraudulous.
>> 
>> 	The machine has been compromised on 2017-02-12 21:42Z and infected with a form
>> 	of the XOR.DDos/Groundhog malware.
>> 	Shortly after the DDoS began we noticed the traffic spike, analysed the machine
>> 	and took it offline.
>> 
>> 	This mail is meant as a heads-up to help you investigating this further.
>> 
>> 	Best regards,
>> 
>> 	XXXXXXXX
>> 	Freifunk Frankfurt e.V.
>> 
> 

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 801 bytes
Beschreibung: Message signed with OpenPGP using GPGMail
URL         : <http://lists.freifunk.net/mailman/private/admin-ffm-freifunk.net/attachments/20170214/1862533e/attachment.sig>

Mehr Informationen über die Mailingliste admin-ffm