[Wien] Status update GRIZZLY STEPPE

Paul Fuxjaeger (spam-protected)
Di Jan 3 12:44:54 CET 2017


> On 2 Jan 2017, at 18:33, L. Aaron Kaplan <(spam-protected)> wrote:
> 
> ## Zusammenfassung
> 
> Die einfachste Erklärung ist, dass der marvin (193.238.157.16) unsicher war, gehackt wurde und im Zeitraum Juni 2016 (von wem auch immer) missbraucht wurde. Ob das wirklich der Hack gegen den DNC (Democratic National Congress) war oder nicht, koennen wir von hier aus nicht feststellen.
> Die PHP shell ist definitiv verdächtig.
> 
> More work needed. Forensik kann lange dauern.


Danke für das Update, und super dass sich Adrian und Martin auch Zeit nehmen für uns.

Hab ich die derzeitige Faktenlage richtig verstanden:

1) Has machine been compromised? —> YES (php shell found)
2) Start date —> high confidence for “at least since June 2016”?

Lässt sich sagen wie *wahrscheinlich* es ist dass noch Hinweise auf Source/Destination gefunden werden?

3) 1-hop source IPs: eher wahrscheinlich?
4) Destination IPs: extrem unwahrscheinlich?

Damit wir (bis zum Abschluss der Forensik) auf Fragen zumindest statistische Antworten geben können.

danke
-paul
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.funkfeuer.at/pipermail/wien/attachments/20170103/675b20e4/attachment.htm>


Mehr Informationen über die Mailingliste Wien