Hack des BGP1, mail an Apple und den ISP des Hackers
Jürgen Sagurna
sagurna at s3i.de
Di Feb 14 17:29:36 CET 2017
Hallo Admins,
hier die IP der Angreifer:
104.251.176.63 Port 45206
Und der dazu entsprechende Auszug aus der auth.log.1 Datei:
Feb 12 22:42:24 bgp1 sshd[8902]: reverse mapping checking getaddrinfo
for 63-176-251-104-static.reverse.queryfoundry.net [104.251.176.63]
failed - POSSIBLE BREAK-IN ATTEMPT!
Feb 12 22:42:24 bgp1 sshd[8902]: Accepted password for root from
104.251.176.63 port 45206 ssh2
Feb 12 22:42:24 bgp1 sshd[8902]: pam_unix(sshd:session): session opened
for user root by (uid=0)
Feb 12 22:42:32 bgp1 sshd[8902]: Received disconnect from
104.251.176.63: 11:
Gruß
Jürgen
Am 14.02.17 um 17:00 schrieb Thomas Weißschuh:
> Hallo alle,
>
> Am Sonntag abend ist unser bgp1 host (Gateway zu FFRL) gehackt worden.
> Root login über ssh per Passwort war aktiviert und ist geknackt worden.
> Der Host wurde dann benutzt um das Apple Push Netzwerk zu fluten.
>
> Hier die Mail, die wir an Apple und dem ISP schicken können.
>
> @Magnus kannst du noch die Zeit vom traffic spike eintragen und die IP Adresse
> von unserer maschine
> @Jürgen ich habe es verbummelt die IP Adresse vom Angreifer aufzuschreiben.
> Kannst du die nachliefern?
>
> Abuse of Apple Push Network.
>
> On 2017-02-13 XX:XX:XXZ our machine with the IP Adress XXX.XXX.XXX.XXX has been
> used to take part in a DDoS against the Apple push network.
> (According to the IPs and ports the malware connected to).
> All traffic to APN from this machine can be regarded as fraudulous.
>
> The machine has been compromised on 2017-02-12 21:42Z and infected with a form
> of the XOR.DDos/Groundhog malware.
> Shortly after the DDoS began we noticed the traffic spike, analysed the machine
> and took it offline.
>
> This mail is meant as a heads-up to help you investigating this further.
>
> Best regards,
>
> XXXXXXXX
> Freifunk Frankfurt e.V.
>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 801 bytes
Beschreibung: OpenPGP digital signature
URL : <http://lists.freifunk.net/mailman/private/admin-ffm-freifunk.net/attachments/20170214/b6306705/attachment.sig>
Mehr Informationen über die Mailingliste admin-ffm