Hallo,
wir haben einen Kunden, der eine IP von uns hat und dessen Traffic über eines unserer Gateways läuft. Wegen eines Problems habe ich mir den Traffic auf dem Gateway per tcpdump angesehen und dabei ein viel größeres Problem festgestellt.
Der Kunde hat einen Windows Server 2003, der von außen erreichbar ist und vermutlich auf einem Patchlevel von vor fünf Jahren ist.
Und Überraschung - der Server scheint auf jeden Fall infiziert zu sein. Es gibt massig Remote Desktop Anfragen auf fremde IPs (490 verschiedene IPs in 30 Sekunden) sowie SMB/Windows Freigabe Anfragen (über dreitausend verschiedene Ziel IPs in 30 Sekunden).
Ferner habe ich ausgehende Verbindungen mit Zielport 1095 auf eine IP der DTAG DSL Dial-In herausgefunden. Laut diverser Seiten ist Port 1095 ein Indiz für Hvl RAT oder Blood fest Evolution. Mir ist allerdings nicht klar, ob sich der Server bei dem DSL System meldet, um sich selbst steuern zu lassen (ähnlich 6667 IRC bei Bot-Netzen) oder ob von dem Server aus ein weiteres Fremdsystem gesteuert wird. Also ob die DTAG IP der Angreifer oder ein weiteres Opfer ist. Sollte man dem Kunden empfehlen, den Nutzer derk IP anzuzeigen? Das macht natürlich nur Sinn, wenn das dann auch der Angreifer ist
Dass der Kunde sein System neu installieren muss, ist eigentlich klar und das ist auch nicht mein Bier. Mein Problem ist die Verarbeitung personenbezogener Daten durch mich. Was darf ich in solch einem Fall tun? Hätte ich überhaupt die bisherigen Untersuchungen durchführen dürfen? Darf ich weitere Untersuchungen durchführen? Darf ich Wireshark Dumps anlegen, um ggf. später Beweise zu haben? Darf ich ohne Weiteres Ports sperren (Gefahr in Verzug - mögliche Sperrung unserer Subnetze, ggf. wirtschaftlicher Schaden bei uns un weiteren Kunden)? Womit muss mich der Kunde beauftragen, dass ich die Angelegenheit weiter verfolgen darf? Ggf. muss ich das später auch abrechnen. Darf ich dem Kunden Dumps zur freien Verfügung stellen?
Viele Grüße
Martin
wir haben einen Kunden, der eine IP von uns hat und dessen Traffic über eines unserer Gateways läuft. Wegen eines Problems habe ich mir den Traffic auf dem Gateway per tcpdump angesehen und dabei ein viel größeres Problem festgestellt.
Der Kunde hat einen Windows Server 2003, der von außen erreichbar ist und vermutlich auf einem Patchlevel von vor fünf Jahren ist.
Und Überraschung - der Server scheint auf jeden Fall infiziert zu sein. Es gibt massig Remote Desktop Anfragen auf fremde IPs (490 verschiedene IPs in 30 Sekunden) sowie SMB/Windows Freigabe Anfragen (über dreitausend verschiedene Ziel IPs in 30 Sekunden).
Ferner habe ich ausgehende Verbindungen mit Zielport 1095 auf eine IP der DTAG DSL Dial-In herausgefunden. Laut diverser Seiten ist Port 1095 ein Indiz für Hvl RAT oder Blood fest Evolution. Mir ist allerdings nicht klar, ob sich der Server bei dem DSL System meldet, um sich selbst steuern zu lassen (ähnlich 6667 IRC bei Bot-Netzen) oder ob von dem Server aus ein weiteres Fremdsystem gesteuert wird. Also ob die DTAG IP der Angreifer oder ein weiteres Opfer ist. Sollte man dem Kunden empfehlen, den Nutzer derk IP anzuzeigen? Das macht natürlich nur Sinn, wenn das dann auch der Angreifer ist
Dass der Kunde sein System neu installieren muss, ist eigentlich klar und das ist auch nicht mein Bier. Mein Problem ist die Verarbeitung personenbezogener Daten durch mich. Was darf ich in solch einem Fall tun? Hätte ich überhaupt die bisherigen Untersuchungen durchführen dürfen? Darf ich weitere Untersuchungen durchführen? Darf ich Wireshark Dumps anlegen, um ggf. später Beweise zu haben? Darf ich ohne Weiteres Ports sperren (Gefahr in Verzug - mögliche Sperrung unserer Subnetze, ggf. wirtschaftlicher Schaden bei uns un weiteren Kunden)? Womit muss mich der Kunde beauftragen, dass ich die Angelegenheit weiter verfolgen darf? Ggf. muss ich das später auch abrechnen. Darf ich dem Kunden Dumps zur freien Verfügung stellen?
Viele Grüße
Martin