Wie herausfinden ob Daten abgeflossen sind?

Mitglied: Wild-Wolf

Wild-Wolf (Level 1) - Jetzt verbinden

21.03.2021 um 13:58 Uhr, 1878 Aufrufe, 9 Kommentare

Moin zusammen.

Ja ich weiß, das Thema HAFNIUM und co. nervt langsam. Mich auch.

Aber ich habe jetzt schon hier und auch google befragt, aber ich finde einfach keinen Anhaltspunkt. Oder ich bin einfach nur blind.

Ich habe das Problem, das 3 Kunden von mir Korrumpiert wurden. Dabei einer mit einer Webshell, die noch vorhanden war (s0pport). In den Logs habe ich, mit den üblichen Tools, mehrere Einträge gefunden.


Was ich jetzt aber einfach nicht weiß, wie kann ich nun herausfinden, ob Daten abgeflossen sind.
Vielleicht hat der Eine oder Andere an dieser Stelle einige Tipps, wo oder in welchen Logs ich am besten schauen kann. Ereignisprotokolle etc. Oder zumindest, nach was ich genau suchen muss.

Die Logs sehen auf dem ersten Blick erstmal normal aus.
Mitglied: beidermachtvongreyscull
21.03.2021 um 16:12 Uhr
Zitat von @Wild-Wolf:

Moin zusammen.
Mahlzeit!

Zitat von @Wild-Wolf:
Was ich jetzt aber einfach nicht weiß, wie kann ich nun herausfinden, ob Daten abgeflossen sind.
Vielleicht hat der Eine oder Andere an dieser Stelle einige Tipps, wo oder in welchen Logs ich am besten schauen kann. Ereignisprotokolle etc. Oder zumindest, nach was ich genau suchen muss.

Ich würde nicht mehr suchen. Ich würde annehmen. Du hast ne fremde Webshell entdeckt? Die Sicherheitstools von MS schlagen Alarm? Sichere die DBs, mach die Büchse platt und setze sie frisch auf. So würde ich das machen.

Denn selbst wenn noch nix abgeflossen ist, weißt Du u.U. nicht, welche Hintertür da eingebaut wurde!
Bitte warten ..
Mitglied: anteNope
21.03.2021 um 16:37 Uhr
Zitat von @beidermachtvongreyscull:
Sichere die DBs, mach die Büchse platt und setze sie frisch auf. So würde ich das machen.

Ich würde nicht mal die Datenbank mehr übernehmen! Da könnte sich prinzipiell auch etwas eingenistet haben ...

Alten Stand wiederherstellen und Mails bis zu diesem Stand manuell extrahieren und wieder importieren.
Bitte warten ..
Mitglied: beidermachtvongreyscull
21.03.2021 um 16:49 Uhr
Zitat von @anteNope:
Ich würde nicht mal die Datenbank mehr übernehmen! Da könnte sich prinzipiell auch etwas eingenistet haben ...

Alten Stand wiederherstellen und Mails bis zu diesem Stand manuell extrahieren und wieder importieren.

Kondom und Pille. :-D face-big-smile
Eine gute Kombination, auch wenn der Spaß darunter leiden könnte.

Aber wenn Du z.B. nen Mailstore angeschlossen hast, dann würde es ja wahrscheinlich keinen Sinn machen, oder doch?
Der hätte ja dann ebenfalls den vermeintlich kompromittierten "Inhalt".
Bitte warten ..
Mitglied: 148021
148021 (Level 1)
21.03.2021, aktualisiert um 17:01 Uhr
Moin,

mich nervt es nicht, im Gegenteil :-) face-smile. Ich bin nur am Lachen und es zeigt meinem Chef, der Typ ist jeden Cent wert :-) face-smile


Sollte Ihr Unternehmen oder Ihre Behörde einen Microsoft Exchange Server einsetzen, so gehen Sie bitte wie folgt vor:

Spielen Sie unverzüglich die von Microsoft zur Verfügung gestellten Sicherheitspatches zur Schließung der Sicherheitslücke auf. Von der Sicherheitslücke betroffene Serverversionen finden Sie hier auf der Seite des BSI.
Prüfen Sie, ob der von Ihnen eingesetzte Exchange-Server kompromittiert wurde. Hierfür stellt Microsoft ein eigenes Prüfskript zur Verfügung. Dieses finden Sie unter dieser Adresse.
Sofern Ihr System kompromittiert wurde, so stellt dies eine meldepflichtige Datenschutzverletzung dar. Um die nach Art. 33 der DS-GVO vorgeschriebene Meldepflicht auszulösen, reicht ein potenzieller Zugriff aus, der mit einer Kompromittierung des eingesetzten Servers einhergeht. Losgelöst von einem möglichen Abfluss personenbezogener Daten, der womöglich erst nach einer gewissen Zeit zur Kenntnis gelangt oder festgestellt wird, empfiehlt der LfDI deshalb – bei Kompromittierung des Servers – eine vorläufige Meldung einer Verletzung des Schutzes personenbezogener Daten vorzunehmen, um Konflikte mit der Meldefrist nach Art. 33 Abs. 1 DS-GVO zu vermeiden. Für die Meldung der Datenschutzverletzung verwenden Sie bitte das hierfür bereitgestellte Online-Formular.

Sollte Ihr System nicht kompromittiert worden sein und Ihnen keine Erkenntnisse über eine unbefugte Einsichtnahme bzw. Abfluss personenbezogener Daten vorliegen, so ist eine Meldung an den LfDI RLP nicht erforderlich. Sofern von dem Vorfall sensible personenbezogene Daten i.S.d. Art. 9 DS-GVO betroffen sind, so möchten wir Sie darauf hinweisen, dass eine Unterrichtung des betroffenen Personenkreises durch den Verantwortlichen nach Artikel 34 DS-GVO unverzüglich zu erfolgen hat.

https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/verm ...


Ich gehe davon aus, du hast noch keinen Kontakt zu den Behörden aufgenommen. Sonst hättest du bereits eine super Anleitung in der Hand.
Bitte warten ..
Mitglied: anteNope
21.03.2021 um 18:11 Uhr
Aber wenn Du z.B. nen Mailstore angeschlossen hast, dann würde es ja wahrscheinlich keinen Sinn machen, oder doch?
Naja die Anwender würden schon ihre aktuellen Mails wiederhaben 🤣

Der hätte ja dann ebenfalls den vermeintlich kompromittierten "Inhalt".
Mir geht es weder um infizierte Mails, sondern eher darum, dass Datenbanken auch Schadecode enthalten könnte. Sprich man mountet die und zack ist die Hintertüre wieder offen 😅
Bitte warten ..
Mitglied: beidermachtvongreyscull
21.03.2021 um 19:16 Uhr
Zitat von @anteNope:

Aber wenn Du z.B. nen Mailstore angeschlossen hast, dann würde es ja wahrscheinlich keinen Sinn machen, oder doch?
Naja die Anwender würden schon ihre aktuellen Mails wiederhaben 🤣

Der hätte ja dann ebenfalls den vermeintlich kompromittierten "Inhalt".
Mir geht es weder um infizierte Mails, sondern eher darum, dass Datenbanken auch Schadecode enthalten könnte. Sprich man mountet die und zack ist die Hintertüre wieder offen 😅

Mir ist schon klar, worauf Du hinaus willst.
Bitte warten ..
Mitglied: Wild-Wolf
22.03.2021 um 08:28 Uhr
Zitat von @beidermachtvongreyscull:
Ich würde nicht mehr suchen. Ich würde annehmen. Du hast ne fremde Webshell entdeckt? Die Sicherheitstools von MS schlagen Alarm? Sichere die DBs, mach die Büchse platt und setze sie frisch auf. So würde ich das machen.

Denn selbst wenn noch nix abgeflossen ist, weißt Du u.U. nicht, welche Hintertür da eingebaut wurde!

Jetzt aber Moinsen :D

Die Betroffenen System wurden sofort vom Netz getrennt und eine Meldung an die jeweilige Datenschutzbehörde rausgegeben, wie es in diesem Fall vorgeschrieben ist.

Die Server wurden bereits neu aufgesetzt und alle Kennwörter geändert. Auch alle anhängenden Systeme wurden unverzüglich überprüft.

Die Kunden wollen natürlich jetzt wissen, ob Daten abgegriffen wurden. Die betroffenen Mail-Server befinden sich daher in einem autarken Netz, um ggf. Analysen durchzuführen.

Nur dumm wenn man nicht 100% weiß, wonach gesucht werden muss. Immerhin kann nicht jeder Admin alles wissen. Leider …
Bitte warten ..
Mitglied: NetzwerkDude
22.03.2021, aktualisiert um 09:36 Uhr
Leider ist das nicht in einem paar Zeilen post abzuarbeiten. Das Thema ist Umfangreich genung um einen Forensiker anzuheuern.

Grundsätzlich ist es möglich gewisse akivität festzustellen (z.B. wann die webshell angelegt wurde, und ob auf Sie dannach zugegriffen wurde - die Dateisystem Artefakte räumt kaum ein 08/15 Hacker auf, geschweige denn ein automatisches Skript) - aber der Forensiker wird auch nur in Wahscheinlichkeiten sprechen und keine 100tigen aussagen treffen können.

Sofern du kein Logging von einem nichtkompromittierten System hast, bleibt nur was alle anderen gesagt haben: Die Excange Server samt anhängenden AD komlett neu aufsetzen - denn der Beweiswert von einem System das ge0wnd wurde, liegt leider auch bei 0 :( face-sad

MFG
N-Dude
Bitte warten ..
Mitglied: Wild-Wolf
23.03.2021 um 12:22 Uhr
Bin auch akruell dabei das System neu zu machen. Schon ein schöner s.... alles. Träume nur noch von dem Müll.
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerkgrundlagen
Frage der anderen Art
NeuerleVor 1 TagFrageNetzwerkgrundlagen16 Kommentare

Hi an alle, Ich bin InformatikStudi. Habe Ende des Monats Klausur im Fach Netzwerke zu schreiben und komme gar nicht klar. Entweder ich bin ...

Ubuntu
Cups-Server mit SMB lehnt Verbindungen ab (smb.conf)?
ErikHeinemannVor 1 TagFrageUbuntu17 Kommentare

Guten Morgen, ich habe einen Ubuntu 20.04 Server mit Cups als Printspooler. Nun Soll noch Samba hinzugefügt werden für eine einfache Verwendung unter Windows. ...

Exchange Server
Kaspersky for Exchange Meldungen
gelöst wieoderwasVor 1 TagFrageExchange Server11 Kommentare

Guten Morgen, wir haben bei uns einen Exchange 2013 mit Kaspersky for Exchange und Sophos auf Dateiebene. Heute Morgen habe ich einige von diesen ...

Groupware
Lokale Mini-Groupware für Mail, Adressbuch und Kalender gesucht
AndreasKasselVor 1 TagFrageGroupware10 Kommentare

Hallo zusammen, ich habe insgesamt 2 PCs, 1 Notebook, 1 Android-Tablet und ein Android-Smartphone. Weiterhin habe ich 2 Mail-Adressen bei 1&1 mit einer eigenen ...

Grafikkarten & Monitore
Unerklärliche Aussetzer Bildschirm und Maus
nixwissenderVor 1 TagFrageGrafikkarten & Monitore10 Kommentare

hallo! wir haben aktuell das unerklärliche phänomen, dass sich am arbeitsplatz vom mitarbeiter eines der beiden bildschirme kurzzeitig ausschaltet (und zwar der, der per ...

CPU, RAM, Mainboards
CPU Lüfter ausbauen
gelöst ben1300Vor 1 TagFrageCPU, RAM, Mainboards9 Kommentare

Hallo zusammen, ich habe mir damals einen Fertig PC gekauft. Ich würde gerne den Arbeitsspeichern austauschen, allerdings muss ich dafür - so wie es ...

Backup
Backup Datei
gelöst KanrishaVor 1 TagFrageBackup5 Kommentare

Hallo Zusammen, ich habe eine Frage ich will eine Backup bat Datei schreiben habe jedoch ein kleines Problem. Ich möchte ein Laufwerk in das ...

DNS
Android 10 und mein DNS Server
gelöst CyborgWeaselVor 1 TagFrageDNS7 Kommentare

Hallo allesamt, ich spiele gerade etwas mit einer Synology herum, habe unter Anderem einen eigenen DNS jetzt aufgesetzt. Die lokale Domäne ist HomeDomain.local und ...