12
Erkennen von Operational Relay Boxes
Wie kann man analysieren bzw. erkennen ob auf den eigenen Servern sog. Operational Relay Boxes von 3. installiert wurden?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 246682
Url: https://administrator.de/contentid/246682
Ausgedruckt am: 26.11.2024 um 01:11 Uhr
12 Kommentare
Neuester Kommentar
Unter Umständen gar nicht.
(und wenn Du diese Frage hier stellen mußt, reicht Dein Knowhow dazu nicht aus).
Holt Euch einen Fachmann dafür.
Lonesome Walker
(und wenn Du diese Frage hier stellen mußt, reicht Dein Knowhow dazu nicht aus).
Holt Euch einen Fachmann dafür.
Lonesome Walker
1
Danke für die inkompetente Antwort. So eine ist überflüssig wie ein Kropf!
Moin,
grundsätzlich hat Lonesome schon recht. Viel ist ja darüber bisher nicht bekannt.
Es handelt sich wohl um Rootkits/Trojaner/Würmer (der Geheimdienste) die Traffic relayen... also kommst man dem evtl. mit Trafficanalyse auf die Spur. Das setzt natürlich vorraus, man kennt seine Baselines...
lg,
Slainte
grundsätzlich hat Lonesome schon recht. Viel ist ja darüber bisher nicht bekannt.
Es handelt sich wohl um Rootkits/Trojaner/Würmer (der Geheimdienste) die Traffic relayen... also kommst man dem evtl. mit Trafficanalyse auf die Spur. Das setzt natürlich vorraus, man kennt seine Baselines...
lg,
Slainte
Hallo,
Und jetzt mal im Ernst, man muss doch auch erst einmal wissen
nach was denn genau man suchen muss, oder etwa nicht?
Ich denke man kann sicherlich einen oder auch zwei HoneyPots in einem Jail aufstellen
und dann hoffen das man eine dieser Boxen auf das System bekommt, aber dann geht
in der Regel die Arbeit ja auch erst richtig los und man muss eben diese analysieren und
dann erst kann man sie nach außen kommunizieren bzw. kommentieren und die Befunde
öffentlich machen. Und erst dann sollte es dem Rest der "normalen" Nutzer und "Admins"
möglich sein, die Suche aufzunehmen. Und erst wenn diese Punkte an die richtigen Stellen
kommen, also sprich AV Herstellern, Snort Rules Erstellen, Firewall Codern und Herstellern,
Router Herstellern und Programmierern und Anbietern von Sicherheitssoftware kann man sogar
recht gut dagegen vorgehen und sich effektiv schützen.
Nach was und wie willst Du denn suchen? Du weißt doch gar nicht auf welchem Weg eben
diese auf Deine Server kommen.
Gruß
Dobby
Wie kann man analysieren bzw. erkennen ob auf den eigenen Servern sog.
Operational Relay Boxes von 3. installiert wurden?
- Welches Server OS denn überhaupt?Operational Relay Boxes von 3. installiert wurden?
Und jetzt mal im Ernst, man muss doch auch erst einmal wissen
nach was denn genau man suchen muss, oder etwa nicht?
Ich denke man kann sicherlich einen oder auch zwei HoneyPots in einem Jail aufstellen
und dann hoffen das man eine dieser Boxen auf das System bekommt, aber dann geht
in der Regel die Arbeit ja auch erst richtig los und man muss eben diese analysieren und
dann erst kann man sie nach außen kommunizieren bzw. kommentieren und die Befunde
öffentlich machen. Und erst dann sollte es dem Rest der "normalen" Nutzer und "Admins"
möglich sein, die Suche aufzunehmen. Und erst wenn diese Punkte an die richtigen Stellen
kommen, also sprich AV Herstellern, Snort Rules Erstellen, Firewall Codern und Herstellern,
Router Herstellern und Programmierern und Anbietern von Sicherheitssoftware kann man sogar
recht gut dagegen vorgehen und sich effektiv schützen.
Nach was und wie willst Du denn suchen? Du weißt doch gar nicht auf welchem Weg eben
diese auf Deine Server kommen.
Gruß
Dobby
Und wenn sie nicht auf den Servern sind dann sind sie ganz sicher als Mirror Ports im Netzwerk installiert !!
Dtektieren kann man sowas also kleiner Kunde von außen niemals. Jedenfalls nicht in einer Infrastruktur auf die man physisch keinen Zugang hat !
Die Antwort vom Kollegen LW trifft also schon genau zu auf den TO.
Dtektieren kann man sowas also kleiner Kunde von außen niemals. Jedenfalls nicht in einer Infrastruktur auf die man physisch keinen Zugang hat !
Die Antwort vom Kollegen LW trifft also schon genau zu auf den TO.
Die Frage, auf Basis deines "Wissens" ist dies wohl zu einem bedeutend größeren Anteil als seine, ganz richtige, Antwort.
Irgendwo ein Fachwort aufgeschnappt, oder?
Ich glaub bei nem Link den Frank vor kurzem gepostet hat wurde davon geschrieben im Zusammenhang mit der NSA.
Und jetzt ist da vermutlich einfach Angst da.
Und jetzt ist da vermutlich einfach Angst da.
Gehört sich auch so, wenn man noch einen 2003er SBS einsetzt.
Aber er wollte zumindest TLS aufbohren.
Zumindest mal ein Anfang.
Zumindest mal ein Anfang.
Wer das einsetzt, spielt erst mal keine große Rolle. Zur allgemeinen Aufheiterung sicher nicht nur die NSA, BND oder KGB-Nachfolger, sondern auch Netzwerksicherheitsexperten. Die Frage nach dem Server-OS ist denke ich mal obsolet, da ich mir vorstellen kann das man so was auch auf Routern, Printservern und weiß der Kuckuck welchen Netzwerkkomponenten installieren kann.
Der einzig mir sinnvoll erscheinende Vorschlag bis dato scheint mir wirklich die Trafficanalyse. Was aber kein Spaziergang ist, hab das schon für andere Zwecke gemacht!
Der einzig mir sinnvoll erscheinende Vorschlag bis dato scheint mir wirklich die Trafficanalyse. Was aber kein Spaziergang ist, hab das schon für andere Zwecke gemacht!
Hallo nochmal,
oder irre ich da jetzt so sehr? Und da ist es schon gut zu wissen was für ein Server OS
man dort vor sich hat, sonst wird das sehr schnell "daneben gehen", aber ok wenn Du
das nicht mit uns teilen möchtest kann man eben auch nur pauschal etwas anraten,
mein Tipp wäre hier zuerst einmal TripWire.
und nicht nach Routern, Servern, Switchen, Firewall und Druckern,..ect.
Gruß
Dobby
Wer das einsetzt, spielt erst mal keine große Rolle.
??? War ja auch nicht die Frage oder?Zur allgemeinen Aufheiterung sicher nicht nur die NSA, BND oder KGB-Nachfolger,
sondern auch Netzwerksicherheitsexperten.
Wohl eher Firmen die sich auf Industriespionage spezialisiert haben.sondern auch Netzwerksicherheitsexperten.
Die Frage nach dem Server-OS ist denke ich mal obsolet,
Du hast doch nach Servern gefragt, auf denen man so etwas suchen muss/soll/kannoder irre ich da jetzt so sehr? Und da ist es schon gut zu wissen was für ein Server OS
man dort vor sich hat, sonst wird das sehr schnell "daneben gehen", aber ok wenn Du
das nicht mit uns teilen möchtest kann man eben auch nur pauschal etwas anraten,
mein Tipp wäre hier zuerst einmal TripWire.
da ich mir vorstellen kann das man so was auch auf Routern, Printservern
und weiß der Kuckuck welchen Netzwerkkomponenten installieren kann.
Ja das ist zwar schon richtig, aber Du hast uns doch nach Servern gefragtund weiß der Kuckuck welchen Netzwerkkomponenten installieren kann.
und nicht nach Routern, Servern, Switchen, Firewall und Druckern,..ect.
Der einzig mir sinnvoll erscheinende Vorschlag bis dato scheint mir wirklich
die Trafficanalyse. Was aber kein Spaziergang ist, hab das schon für andere
Zwecke gemacht!
Na dann ist ja alles tutti, und wenn Du dann noch ein Beitrag ist erledigt hinten dran pappst, Danke!die Trafficanalyse. Was aber kein Spaziergang ist, hab das schon für andere
Zwecke gemacht!
Gruß
Dobby
Stimmt. Hat etwas davon den Motor zu entwickeln, lange, bevor man von der viereckigen auf die runden Form der Motor-Boden-Kraftübertragung kam.
Ist wie der Cloud vs.. Thread ziemlich oberflächlich und schreit daher in und aus derselben Richtung.
Ist wie der Cloud vs.. Thread ziemlich oberflächlich und schreit daher in und aus derselben Richtung.
