[adminFFM 00008] Re: Hack des BGP1, mail an Apple und den ISP des Hackers

Magnus Frühling magnus.fruehling at me.com
Di Feb 14 17:25:38 CET 2017 

Hey,

Die Graphen: http://monitoring.ffm.freifunk.net:3000/dashboard/db/supernode?var-instance=176.9.211.141&from=1487009553578&to=1487013668469


Erster Spike: 19:19
Zweiter ab: 19:23
Dritter ab: 19:27
Vierter bis Ende: 19:33

Unsere IP: 176.9.211.141


20170212 22:42:24 Einbruchs IP: 104.251.176.63

@Thomas: Danke für die Mail, find ich gut.


Liebe Grüße
Magnus

> On 14.02.2017, at 17:00, Thomas Weißschuh <thomas at t-8ch.de> wrote:
> 
> Hallo alle,
> 
> Am Sonntag abend ist unser bgp1 host (Gateway zu FFRL) gehackt worden.
> Root login über ssh per Passwort war aktiviert und ist geknackt worden.
> Der Host wurde dann benutzt um das Apple Push Netzwerk zu fluten.
> 
> Hier die Mail, die wir an Apple und dem ISP schicken können.
> 
> @Magnus kannst du noch die Zeit vom traffic spike eintragen und die IP Adresse
> von unserer maschine
> @Jürgen ich habe es verbummelt die IP Adresse vom Angreifer aufzuschreiben.
> Kannst du die nachliefern?
> 
> 	Abuse of Apple Push Network.
> 
> 	On 2017-02-13 XX:XX:XXZ our machine with the IP Adress XXX.XXX.XXX.XXX has been
> 	used to take part in a DDoS against the Apple push network.
> 	(According to the IPs and ports the malware connected to).
> 	All traffic to APN from this machine can be regarded as fraudulous.
> 
> 	The machine has been compromised on 2017-02-12 21:42Z and infected with a form
> 	of the XOR.DDos/Groundhog malware.
> 	Shortly after the DDoS began we noticed the traffic spike, analysed the machine
> 	and took it offline.
> 
> 	This mail is meant as a heads-up to help you investigating this further.
> 
> 	Best regards,
> 
> 	XXXXXXXX
> 	Freifunk Frankfurt e.V.

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 801 bytes
Beschreibung: Message signed with OpenPGP using GPGMail
URL         : <http://lists.freifunk.net/mailman/private/admin-ffm-freifunk.net/attachments/20170214/c6ec2c07/attachment.sig>

Mehr Informationen über die Mailingliste admin-ffm