Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Lijst met gevoelige servers

19-05-2011, 14:51 door Leonr, 5 reacties
Hallo daar,

In mijn logs vond ik een poging om een php script uit te voeren vanaf een ftp server. In de link zaten ook inloggegevens en op de betreffende ftp server staat ook een access log met ip adressen en datums waarop deze toegang hebben gehad tot de ftp server. Ik heb enkele van deze ip adressen opgezocht en ze lijken te herleiden naar webservers. Naar ik vermoed zijn dit servers die het php script geopend hebben. De lijst gaat 2 dagen terug dus ik vermoed dat iemand informatie aan het verzamelen is voor het een of ander. Zover hetgeen ik gevonden heb, nou de vraag: waar kan ik het beste met deze informatie naar toe gaan?

Leon
Reacties (5)
19-05-2011, 14:57 door SirDice
SANS' ISC is wat me zo 123 even te binnen schiet.

http://isc.sans.edu/
19-05-2011, 17:13 door [Account Verwijderd]
[Verwijderd]
20-05-2011, 13:56 door Leonr
Hartelijk dank voor de reacties. Ik heb SANS ISC ingelicht en van de benodigde informatie voorzien. Ik zou wel achter alle IP adressen aan kunnen gaan, maar ik heb ook wel betere dingen met mijn tijd te doen en mijn ervaring is dat ISP's meestal niet of niet adequaat reageren op dit soort meldingen. Buiten dat is de lijst veel te groot om daar aan te beginnen.

Dank,

Leon
20-05-2011, 15:02 door SirDice
Door Leonr: mijn ervaring is dat ISP's meestal niet of niet adequaat reageren op dit soort meldingen.
Mijn ervaring is juist andersom. Wat het verschil maakt is meestal hoe je een abuse e-mail schrijft.

Wat je moet doen is alleen logging informatie verstrekken waaruit blijkt dat een host bij hun in de fout zit. GEEN conclusies, GEEN ellenlange analyses, alleen feiten, kort en bondig. En, uiteraard, in een standaard e-mail, dus geen HTML en zonder attachments.
20-05-2011, 15:10 door Leonr
SirDice,

Wellicht dat je daar wel een punt hebt. Het log is inmiddels echter een ruime 1800 regels en de paar IP adressen die ik heb opgezocht komen bij onder andere serverfarms van leaseweb uit. Als ik deze allemaal moet gaan benaderen kan ik beter ontslag nemen hier want aan mijn eigen werk kom ik dan niet meer toe. Ik denk persoonlijk dat hier anderen, die hier professioneel mee bezig zijn, beter aan zet zijn in dit geval.

Groet,

Leon
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.