Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 14

Temat: Wskazówki w sprawie computer forensic

  1. #1
    Zarejestrowany
    Oct 2013
    Postów
    9

    Domyślnie Wskazówki w sprawie computer forensic

    Proszę o poradę.Osoba znana z imienia i nazwiska dysponując VPS dokonuje ataków uniemożliwiających oraz utrudniających korzystanie z internetu oraz z innych mediów, tzn. telefon stacjonarny, GSM, dekoder TV satelitarnej. Na forach internetowych pojawiają się wypowiedzi, że to w celach testowych lub administracyjnych, zakładając niecne intencje, można powiedzieć, że to nic innego tylko botnet. Narzędzia systemowe, takie jak ps, top, find, netstat, ifconfig, kill są niewiarygodne, także nie mogę stwierdzić nieautoryzowanych wtargnięć wprost. Badanie ruchu tcpdump'em wymagałoby drugiego laptopa z linuksem, a ponieważ moja sytuacja jest,delikatnie mówiąc, nienajlepsza, pomysł jest nie dla mnie. Zwracam się do TQM, czy sytuacja jest beznadziejna? Czy można nie mając drukarki zebrać elektroniczne dowowy obciążające właśćiciela tego VPS?

  2. #2
    Zarejestrowany
    Oct 2013
    Postów
    9

    Domyślnie Wskazówki w sprawie computer forensic

    Proszę o naukę z analizy powłamaniowej, w jakiej lokalizacji szukać śladów, przy pomocy jakich narzędzi, ewentualny wektor ataku jeśli otwarty jest port 80 i 443, na jakim aspekcie prawnym należy się skupić, jakie aplikacje najczęściej atakowane są przy pomocy explotów, itp. Proszę o praktyczne wskazówki

  3. #3
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Cytat Napisał karambol Zobacz post
    Osoba znana z imienia i nazwiska dysponując VPS dokonuje ataków uniemożliwiających oraz utrudniających korzystanie z internetu oraz z innych mediów, tzn. telefon stacjonarny, GSM, dekoder TV satelitarnej. Na forach internetowych pojawiają się wypowiedzi, że to w celach testowych lub administracyjnych,
    WTF?

    1. Jak VPS moze utrudniac prace sieci GSM, blokowac telefon stacjonarny czy tez dekoder satelitarny?
    2. Jak rozumiec "w celach testowych lub administracyjnych" - takich pierdol od dawna nie slyszalem.

    Napisz dokladnie o co chodzi to sie zastanowimy, na razie jednak nie rozumiem Twojej sytuacji bo logika listu nie trzyma sie kupy :-(
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  4. #4
    Zarejestrowany
    Oct 2013
    Postów
    9

    Domyślnie

    Cytat Napisał TQM Zobacz post
    WTF?

    1. Jak VPS moze utrudniac prace sieci GSM, blokowac telefon stacjonarny czy tez dekoder satelitarny?
    2. Jak rozumiec "w celach testowych lub administracyjnych" - takich pierdol od dawna nie slyszalem.
    Mam na myśli wirtualny komputer, wykupione miejsce w firmie hostingowej, adres IP, normalnie zainstalowany system, komputer analogiczny do virtualboxa. Generalnie chodzi głównie o ukrycie źródła ataku. Podałem te powody pawtarzając wypowiedzi z forum, zapewne "pierdoły", niemmniej nikt nie powie wprost w jakim celu i do czego to ma być.

  5. #5
    Zarejestrowany
    Oct 2013
    Postów
    9

    Domyślnie

    Zakładając ukrywanie się,utrudnianie w zidentyfikowaniu, nie umożliwia to bezkarną dewastacje systemu, szyfrowanie danych, ich ukrywanie, zakłócanie działania sieci internetowej poprzez ataki DOS i DDOS, uniemożliwianie zebrania dowodów elektronicznych,czyszczenie logów, wpływanie na jakość tych dowodów, kompromitowanie osoby, która taką analizę przeprowadza, itd? Czy nie są to techniki, które mają zakłócić wyjaśnienie incydentu? Nie podaje konkretnych faktów proszę Cię jednak o wskazówki jak do takiej sprawy,wydawołoby się beznadziejnej,zabrać, w miarę racjonalnie.

  6. #6
    Zarejestrowany
    Sep 2006
    Postów
    1,227

    Domyślnie

    1. Niezwlocznie zabezpieczyc dowody poprzez wykonanie obrazu disku twardego w formie ewf
    2. Zlecic przeprowadzenie analyzy profesjonalnej firmie. szukaj "computer forensics analysis service" w twoim regionie,
    3. Dodatkowo mozesz ustawic honeypot w miejscu (ip) skompromitowanego hosta aby zebrac materialy dowodowe o nieautoryzowanych polaczeniach.
    Ostatnio edytowane przez markossx : 10-23-2013 - 20:28

  7. #7
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Spoko, wiem doskonale co to VPS ale nadal zastanawia mnie jakim cudem moze wplywac na siec GSM i podobne. A co z plamami na sloncu?!

    Co do forensics, tak jak mowi Mad_Dud, zabezpieczyc logi, zrobic image systemu ktory zostal zaatakowany lub do ktorego sie wlamano i aby to zrobic poprawnie to najlepiej wziasc do tego firme ktora sie tym profesjonalenie zajmuje. Format ewf czy inny nie ma wielkiego znaczenia tak dlugo jak dlugo proces przygotowania tego obrazu jest poprawny (regula Frye'a i test Daubert'a).

    Szukasz w kategorii Incident Response oraz Computer Forensics - te dwa sa ze soba blizej powiazane niz sie ludziom wydaje.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  8. #8
    Zarejestrowany
    Oct 2013
    Postów
    9

    Domyślnie

    Jeżeli dzienniki zdarzeń, tzn. ich logi są niszczone, zmanipulowane- brakujące logi, czas oszukany,brak wpisów z aktywności w określonych godzinach,itd,czy mogę powiedzieć, że posługuje się programami typu wted, zz, zap, cloak? Nie mam wówczas żadnych dowodów na nieautoryzowane wtargnięcie, czym mam się podeprzeć? Podobnie jest w przypadku połączeń sieciowych, np. uruchomione procesy, jakie mam otwarte pliki, działające procesy, wywołania systemowe i bibliotek, sprawdzanie konkretnych hostów, połączeń za pomocą netstat, obserwacja ruchu sieciowego za pomocą tcpdump nie mam nic, podejrzane połączenia są ukrywane. Jedyne co wydaje się,że destrukcyjne działania robi w pamięci RAM, często obserwowany jest kernel panic. Czy można powiedzieć, że takie działania jak podsłuchiwanie i podglądanie wymierzone w neostradę, która "wisi" na jednym kablu z usługą telekomunikacyjną, dotyczy także telefonu? Czy zatem można powiedzieć, że ukrywając się korzysta z firmy hostingowej zasłaniając swoje prawdziwe IP?

  9. #9
    Zarejestrowany
    Sep 2006
    Postów
    1,227

    Domyślnie

    Zawsze zostaja artefakty, ktorych nie da sie usunac z posiomu systemu. Przestan gdybac i jesli bierzesz sprawe powaznie, to zrob jak powiedzialem i na pewno uzyskasz zadowalajace wyniki.

    Jesli telefon jest "voip" w neostradzie i intruz ma dostep do modemu, to wtedy istnieje prawdopodobienstwo uzyskania nieautoryzowanego dostepu do telefonii stacjonarnej.

  10. #10
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Jak widze jak ktos tak chaotycznie zadaje pytania to mnie krew zalewa.

    Jesli ktos niszczy slady to bedzie widac ze to robi.
    Polaczen sieciowych nie monitoruje sie na maszynie ktora jest atakowana tylko na poziomie sieci tak aby odizolowac element ktoremu nie mozna ufac (atakowana maszyne).
    Kernel Panic moze tez byc efektem tego ze sypie Ci sie RAM.
    Neo i telefon nie maja wiele wspolnego i nawet jesli ktos wisi na twoim modemie to nie ma dostepu do telefonu, no chyba ze zmienil firmware ale wtedy masz wieksze problemy na glwoie niz Snowden
    Nadal nie rozumiem o co chodzi z tym hostingiem.

    Jesli chcesz jeszcze jakiekolwiek odpowiedzi dostac to pisz pytania logicznie i nie tak tasiemcowo bo skaczesz z tematu na temat bez ladu i skladu i sorry ale ja nie mam czasu na dekodowanie o co Ci chodzi. Konkretne pytanie, konkretna odpowiedz, ok?
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Strona 1 z 2 12 OstatniOstatni

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj