[adminFFM 00009] Re: Hack des BGP1, mail an Apple und den ISP des Hackers
Christof Schulze
christof.schulze at gmx.net
Mo Feb 20 13:19:32 CET 2017
Hallo zusammen,
Magnus hatte eine wunderbare TODO-Liste aufs Whiteboard gemalt.
Darunter war:
* Abuse-Mail an Apple schicken
* Abuse-Mail an den verursachenden Provider schicken
Ist beides erledigt?
viele Grüße
Christof
On Tue, Feb 14, 2017 at 05:32:54PM +0100, Magnus Frühling wrote:
>Der Einbruch war am 2017 02 12 ; der Traffic Spike / DoS auf Apple war erst am 2017 02 13
>
>
>> On 14.02.2017, at 17:29, Jürgen Sagurna <sagurna at s3i.de> wrote:
>> Hallo Admins,
>> hier die IP der Angreifer:
>> 104.251.176.63 Port 45206
>> Und der dazu entsprechende Auszug aus der auth.log.1 Datei:
>> Feb 12 22:42:24 bgp1 sshd[8902]: reverse mapping checking getaddrinfo
>> for 63-176-251-104-static.reverse.queryfoundry.net [104.251.176.63]
>> failed - POSSIBLE BREAK-IN ATTEMPT!
>> Feb 12 22:42:24 bgp1 sshd[8902]: Accepted password for root from
>> 104.251.176.63 port 45206 ssh2
>> Feb 12 22:42:24 bgp1 sshd[8902]: pam_unix(sshd:session): session opened
>> for user root by (uid=0)
>> Feb 12 22:42:32 bgp1 sshd[8902]: Received disconnect from
>> 104.251.176.63: 11:
>> Gruß
>> Jürgen
>> Am 14.02.17 um 17:00 schrieb Thomas Weißschuh:
>>> Hallo alle,
>>> Am Sonntag abend ist unser bgp1 host (Gateway zu FFRL) gehackt worden.
>>> Root login über ssh per Passwort war aktiviert und ist geknackt worden.
>>> Der Host wurde dann benutzt um das Apple Push Netzwerk zu fluten.
>>> Hier die Mail, die wir an Apple und dem ISP schicken können.
>>> @Magnus kannst du noch die Zeit vom traffic spike eintragen und die IP Adresse
>>> von unserer maschine
>>> @Jürgen ich habe es verbummelt die IP Adresse vom Angreifer aufzuschreiben.
>>> Kannst du die nachliefern?
>>> Abuse of Apple Push Network.
>>> On 2017-02-13 XX:XX:XXZ our machine with the IP Adress XXX.XXX.XXX.XXX has been
>>> used to take part in a DDoS against the Apple push network.
>>> (According to the IPs and ports the malware connected to).
>>> All traffic to APN from this machine can be regarded as fraudulous.
>>> The machine has been compromised on 2017-02-12 21:42Z and infected with a form
>>> of the XOR.DDos/Groundhog malware.
>>> Shortly after the DDoS began we noticed the traffic spike, analysed the machine
>>> and took it offline.
>>> This mail is meant as a heads-up to help you investigating this further.
>>> Best regards,
>>> XXXXXXXX
>>> Freifunk Frankfurt e.V.
--
() ascii ribbon campaign - against html e-mail
/\ against proprietary attachments
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 181 bytes
Beschreibung: Digital signature
URL : <http://lists.freifunk.net/mailman/private/admin-ffm-freifunk.net/attachments/20170220/df83dcdc/attachment.sig>
Mehr Informationen über die Mailingliste admin-ffm