Security Professionals - ipfw add deny all from eindgebruikers to any

IT professional gezocht met kennis van netwerken/badbios/badusb

04-08-2015, 17:02 door Accumulator, 15 reacties
Laatst bijgewerkt: 04-08-2015, 17:11
Ik hoop dat iemand mij hier goed advies kan geven over het volgende:
Op dit moment wordt mijn bedrijf geplaagd door virussen/malware en websites die niet bereikbaar zijn. Mijn bedrijf heeft een deels IT tak en beheerd webportals. Een ex werkneemster die begonnen was als stagaire heeft deze portals gekopieerd, deze draaiend op haar pc met webserver gezet, aanpassingen gemaakt en daarna deze elders gehost. Naar klanten en relaties heeft zij oa pdf met malware gestuurd, waardoor mijn sites ineens elders draaide (137.135.x.x) die dit geopend heeft en afbeeldingen met payloads op mijn sites aangepast. Op mijn emailaccount wordt ingelogd en wachtwoorden ontfutseld . Indien ik SQLqueries draai op mijn pc of aanpassingen doe worden deze direct verzonden naar elders. Indien ik een pc aansluit op internet heb ik binnen 20 min wederom een biosvirus te pakken. 9 pcs zijn inmiddels overleden. De websites die wij beheren zijn marktplaatsen. Mensen klagen plots over geen reacties op advertenties meer, dit onderstreept bovenstaande dat de bezoekers plots wegblijven. Aangifte is er van gedaan, maar dit gaat hen politiepet te boven. Ik weet me geen raad meer en zijn sites werken niet meer naar behoren.
Reacties (15)
04-08-2015, 17:09 door Anoniem
Neem contact op met Fox IT, als je de vraag hier zet, is het niet echt serieus te noemen. Een beetje bedrijf schakeld een advocaat of fox it of dergelijke in.
04-08-2015, 17:30 door Anoniem
Klinkt ongeloofwaardig. Mogelijk iemand die op zoek is naar handige nerds die hij voor malafide zaken wil inzetten. Uitkijken lijkt mij...
04-08-2015, 18:28 door Anoniem
Dit is inderdaad een raar verhaal. Een poging feiten van fictie te onderscheiden:

Een crimineel heeft de login van een beheer panel gestolen met een een keylogger. Daardoor kan de crimineel de DNS aanpassen en subdomains aanmaken met IP's van kwaadaardige sites. Het is niet noodzakelijk kwade opzet van een stagiair. Je moet oppassen met het beschuldigen van mensen.

Je schrijft dat als je een PC aansluit op Internet er een virus op komt. Dat is tamelijk onwaarschijnlijk, het ligt voor de hand dat er al een besmetting is van de computer. Installeer een computer offline, zet de firewall aan (doorgaans heb je al bescherming door NAT). Ga met die computer naar een onbesmet netwerk met Internet aansluiting en installeer alle security updates. Installeer geen software zoals PDF Reader of Flash player. Download alle software die je wilt installeren vers van originele sites op Internet. Gebruik geen software of bestanden van de oude systemen, gebruik ook geen bestaande USB keys.

Daarna wijzig je alle wachtwoorden van alle systemen. Dan ga je aan de slag met opruimen van de DNS, besmette servers. Kijk naar bestanden met een bepaalde datum. Als je backups hebt, zet deze dan vers terug (niet over besmette directories heen). Installeer security updates voor de servers en verwijder software die end-of-life (EOL) is. Maak geen backups in publieke directories. Controleer of er backdoor accounts op de servers zijn aangemaakt. Vanaf nul opnieuw installeren is de veiligste methode.

Vooral de volgorde waarin je dit doet is belangrijk.

BIOSvirussen zijn er nauwelijks. De kans dat dat de oorzaak is van je problemen is zeer klein. Afbeeldingen met payloads zijn er ook nauwelijks. Het gebeurt wel eens dat scriptcode op servers wordt vermomd door een jpg/gif/png extensie te gebruiken, maar dat is dus geen plaatje met payload.

Huur een systeembeheerder uit jouw omgeving in, iedere gemeente in Nederland heeft wel een IT bedrijf binnen de grenzen. Met de aanwijzingen hierboven moet die eruit kunnen komen en de besmettingen kunnen verwijderen.
04-08-2015, 18:46 door Anoniem
Inderdaad, klinkt zeer ongeloofwaardig.
04-08-2015, 19:18 door Anoniem
Aangifte is er van gedaan, maar dit gaat hen politiepet te boven. Ik weet me geen raad meer en zijn sites werken niet meer naar behoren.

Heb je gesproken met het team High-tech Crime ?
04-08-2015, 19:40 door Anoniem
De sponsor van deze site heeft een IT juridisch gerichte advocatuur. Als er aantoonbaar sprake is misbruik door een voormalige werkneemster...
04-08-2015, 22:04 door Anoniem
Door Accumulator: Ik hoop dat iemand mij hier goed advies kan geven over het volgende:
Op dit moment wordt mijn bedrijf geplaagd door virussen/malware en websites die niet bereikbaar zijn. Mijn bedrijf heeft een deels IT tak en beheerd webportals. Een ex werkneemster die begonnen was als stagaire heeft deze portals gekopieerd, deze draaiend op haar pc met webserver gezet, aanpassingen gemaakt en daarna deze elders gehost. Naar klanten en relaties heeft zij oa pdf met malware gestuurd, waardoor mijn sites ineens elders draaide (137.135.x.x) die dit geopend heeft en afbeeldingen met payloads op mijn sites aangepast. Op mijn emailaccount wordt ingelogd en wachtwoorden ontfutseld . Indien ik SQLqueries draai op mijn pc of aanpassingen doe worden deze direct verzonden naar elders. Indien ik een pc aansluit op internet heb ik binnen 20 min wederom een biosvirus te pakken. 9 pcs zijn inmiddels overleden. De websites die wij beheren zijn marktplaatsen. Mensen klagen plots over geen reacties op advertenties meer, dit onderstreept bovenstaande dat de bezoekers plots wegblijven. Aangifte is er van gedaan, maar dit gaat hen politiepet te boven. Ik weet me geen raad meer en zijn sites werken niet meer naar behoren.

Je bent/spreekt voor een bedrijf, blijkbaar goed genoeg om een aantal dingen te zien die mis gaan, om bijzonder exotische dingen te herkennen (biosvirus ? en het overkomt _jou_ , door een _stagiair_ ) en je enige idee van oplossing is om op een forum vol amateurs te komen vragen ?

Btw, de politie , als de zaak oppakken is er niet primair om je IT probleem op te lossen, maar om opsporing naar strafbare feiten en de dader ervan te doen.
Jouw IT infra weer (of voor de eerste keer ... ) goed op poten zetten zijn ze niet voor en gaan ze ook niet doen.

Advies : zoek een serieus IT security bedrijf, en huur die in. En ja, dat kost serieus geld.
05-08-2015, 00:18 door [Account Verwijderd]
Meer spelfouten dan een gemiddelde fishing mail. En vol met ongefundeerde of niet relevante informatie.

Scam.
05-08-2015, 11:38 door Anoniem
Dit scenario is niet iets wat je even over een forum oplost. Maar laat ik een hint geven:

Stel, je hebt een stal vol met koeien en ze zijn allemaal ziek. Er zijn er al negen dood gegaan. Iedere keer dat je een nieuwe koe in je stal neerzet wordt ze binnen twintig minuten ook ziek. Wat is dan je eerste conclusie?
05-08-2015, 13:37 door Anoniem
Klinkt als een babbelfish google translate vertaling...
05-08-2015, 20:42 door Anoniem
Door Anoniem: Klinkt als een babbelfish google translate vertaling...

Precies mijn gedachte...
06-08-2015, 00:31 door Anoniem
Door Accumulator: Ik hoop dat iemand mij hier goed advies kan geven over het volgende:
Op dit moment wordt mijn bedrijf geplaagd door virussen/malware en websites die niet bereikbaar zijn. Mijn bedrijf heeft een deels IT tak en beheerd webportals. Een ex werkneemster die begonnen was als stagaire heeft deze portals gekopieerd, deze draaiend op haar pc met webserver gezet, aanpassingen gemaakt en daarna deze elders gehost. Naar klanten en relaties heeft zij oa pdf met malware gestuurd, waardoor mijn sites ineens elders draaide (137.135.x.x) die dit geopend heeft en afbeeldingen met payloads op mijn sites aangepast. Op mijn emailaccount wordt ingelogd en wachtwoorden ontfutseld . Indien ik SQLqueries draai op mijn pc of aanpassingen doe worden deze direct verzonden naar elders. Indien ik een pc aansluit op internet heb ik binnen 20 min wederom een biosvirus te pakken. 9 pcs zijn inmiddels overleden. De websites die wij beheren zijn marktplaatsen. Mensen klagen plots over geen reacties op advertenties meer, dit onderstreept bovenstaande dat de bezoekers plots wegblijven. Aangifte is er van gedaan, maar dit gaat hen politiepet te boven. Ik weet me geen raad meer en zijn sites werken niet meer naar behoren.
Kijk eens in het naaimandje, Toon Hermans vroeg dat ook en met daverend succes.
06-08-2015, 10:49 door Anoniem
Ik zou wel eens willen weten wat er op die "marktplaatsen" verhandeld wordt want ik heb sterk de indruk dat er stukken aan dit verhaal ontbreken, die mogelijk ook niet in de politiepet geland zijn.

Als je inderdaad door een geavanceerd stuk malware dat zich in biossen e.d. nestelt besmet bent, dan helpen als bedrijf geen halve maatregelen maar moet je echt met een volledig schoon bedrijfsnetwerk beginnen waar geen enkel apparaat direct of indirect meer aan hangt dat voorheen aan je besmette netwerk hing. Dat betekent dus dat echt alles eraf moet, niet alleen pc's maar ook telefoons, tablets, fileservers, printers, wifi/firewall/vpn-kastjes, je modem, je eventuele intelligente switches, alles! Ook je externe harde schijven en je usb-sticks kun je niet meer gebruiken.

Wat je webservers betreft neem ik aan dat je die bij een hostingbedrijf ondergebracht hebt en in plaats van zelf te gaan zitten prutsen kun je beter het hostingbedrijf bellen en vertellen dat je last hebt van een geavanceerde aanval met hostile takeover van je website en ze opdracht geven je wachtwoorden te veranderen, eventuele dns-wijzigingen ongedaan te maken zodat je domeinnaam weer naar je website wijst en een zo volledig mogelijke back-up van de website terug te zetten van een datum dat je zeker weet dat je accounts nog niet gehackt waren.

Ga dus niet zelf zitten prutsen en bezoek zelfs je websites niet vanaf je bedrijfsnetwerk totdat je hoster aangeeft dat de boel in orde is, want dan besmet je mogelijk jezelf opnieuw en begint het hele verhaal van voren af aan. Hoe je je bestaande apparatuur weer virusvrij krijgt is een ander verhaal met een lagere prioriteit dan bovenstaande zaken; mogelijk kun je het opschonen door een derde partij die daar meer verstand van heeft laten uitvoeren. Kom in geen geval in de verleiding om oude apparatuur zo maar aan je nieuwe bedrijfsnetwerk/pc's te hangen want ook dan is de kans op herbesmetting groot.

Als er cruciale zaken op je oude apparatuur staan waarvan je geen externe back-ups hebt, dan kun je die via een oude pc benaderen, maar hang het spul wederom niet aan het netwerk en probeer niet de gegevens te kopiëren, jezelf toe te mailen of iets dergelijks. Alleen overtypen op een virusvrije pc is veilig zolang als je met besmette media/pc's werkt.
06-08-2015, 13:02 door Anoniem
Ha ha, het leukste is dat er mensen zijn die hier serieus op ingaan ... en dat er mensen zijn die die reacties dan ook weer helemaal gaan zitten lezen ... hihi
Zonde van de tijd ... wel heel vermakelijk.

Nee, ik ben niet de topic poster Accumulator ... hihi

Iets anders. Waarom staat er helemaal bovenaan:

Security Professionals - ipfw add deny all from eindgebruikers to any

Ik snap dat Security Professionals de naam is van het forum ...
en wat erachter komt een korte omschrijving zou moeten zijn van dat forum.

Ach ik zal wel wel geen Security Professional zijn ...
06-08-2015, 19:25 door Anoniem
Door Anoniem: Ach ik zal wel wel geen Security Professional zijn ...
Kennelijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.