Wskazówki w sprawie computer forensic

[karambol]

Proszę o poradę.Osoba znana z imienia i nazwiska dysponując VPS dokonuje ataków uniemożliwiających oraz utrudniających korzystanie z internetu oraz z innych mediów, tzn. telefon stacjonarny, GSM, dekoder TV satelitarnej. Na forach internetowych pojawiają się wypowiedzi, że to w celach testowych lub administracyjnych, zakładając niecne intencje, można powiedzieć, że to nic innego tylko botnet. Narzędzia systemowe, takie jak ps, top, find, netstat, ifconfig, kill są niewiarygodne, także nie mogę stwierdzić nieautoryzowanych wtargnięć wprost. Badanie ruchu tcpdump'em wymagałoby drugiego laptopa z linuksem, a ponieważ moja sytuacja jest,delikatnie mówiąc, nienajlepsza, pomysł jest nie dla mnie. Zwracam się do TQM, czy sytuacja jest beznadziejna? Czy można nie mając drukarki zebrać elektroniczne dowowy obciążające właśćiciela tego VPS?

[karambol]

Proszę o naukę z analizy powłamaniowej, w jakiej lokalizacji szukać śladów, przy pomocy jakich narzędzi, ewentualny wektor ataku jeśli otwarty jest port 80 i 443, na jakim aspekcie prawnym należy się skupić, jakie aplikacje najczęściej atakowane są przy pomocy explotów, itp. Proszę o praktyczne wskazówki

[TQM]

Osoba znana z imienia i nazwiska dysponując VPS dokonuje ataków uniemożliwiających oraz utrudniających korzystanie z internetu oraz z innych mediów, tzn. telefon stacjonarny, GSM, dekoder TV satelitarnej. Na forach internetowych pojawiają się wypowiedzi, że to w celach testowych lub administracyjnych,

WTF?

1. Jak VPS moze utrudniac prace sieci GSM, blokowac telefon stacjonarny czy tez dekoder satelitarny?
2. Jak rozumiec "w celach testowych lub administracyjnych" - takich pierdol od dawna nie slyszalem.

Napisz dokladnie o co chodzi to sie zastanowimy, na razie jednak nie rozumiem Twojej sytuacji bo logika listu nie trzyma sie kupy :-(

[karambol]

WTF?

1. Jak VPS moze utrudniac prace sieci GSM, blokowac telefon stacjonarny czy tez dekoder satelitarny?
2. Jak rozumiec "w celach testowych lub administracyjnych" - takich pierdol od dawna nie slyszalem.

Mam na myśli wirtualny komputer, wykupione miejsce w firmie hostingowej, adres IP, normalnie zainstalowany system, komputer analogiczny do virtualboxa. Generalnie chodzi głównie o ukrycie źródła ataku. Podałem te powody pawtarzając wypowiedzi z forum, zapewne "pierdoły", niemmniej nikt nie powie wprost w jakim celu i do czego to ma być.

[karambol]

Zakładając ukrywanie się,utrudnianie w zidentyfikowaniu, nie umożliwia to bezkarną dewastacje systemu, szyfrowanie danych, ich ukrywanie, zakłócanie działania sieci internetowej poprzez ataki DOS i DDOS, uniemożliwianie zebrania dowodów elektronicznych,czyszczenie logów, wpływanie na jakość tych dowodów, kompromitowanie osoby, która taką analizę przeprowadza, itd? Czy nie są to techniki, które mają zakłócić wyjaśnienie incydentu? Nie podaje konkretnych faktów proszę Cię jednak o wskazówki jak do takiej sprawy,wydawołoby się beznadziejnej,zabrać, w miarę racjonalnie.

[Mad_Dud]

1. Niezwlocznie zabezpieczyc dowody poprzez wykonanie obrazu disku twardego w formie ewf
2. Zlecic przeprowadzenie analyzy profesjonalnej firmie. szukaj "computer forensics analysis service" w twoim regionie,
3. Dodatkowo mozesz ustawic honeypot w miejscu (ip) skompromitowanego hosta aby zebrac materialy dowodowe o nieautoryzowanych polaczeniach.

[TQM]

Spoko, wiem doskonale co to VPS ale nadal zastanawia mnie jakim cudem moze wplywac na siec GSM i podobne. A co z plamami na sloncu?!

Co do forensics, tak jak mowi Mad_Dud, zabezpieczyc logi, zrobic image systemu ktory zostal zaatakowany lub do ktorego sie wlamano i aby to zrobic poprawnie to najlepiej wziasc do tego firme ktora sie tym profesjonalenie zajmuje. Format ewf czy inny nie ma wielkiego znaczenia tak dlugo jak dlugo proces przygotowania tego obrazu jest poprawny (regula Frye'a i test Daubert'a).

Szukasz w kategorii Incident Response oraz Computer Forensics - te dwa sa ze soba blizej powiazane niz sie ludziom wydaje.

[karambol]

Jeżeli dzienniki zdarzeń, tzn. ich logi są niszczone, zmanipulowane- brakujące logi, czas oszukany,brak wpisów z aktywności w określonych godzinach,itd,czy mogę powiedzieć, że posługuje się programami typu wted, zz, zap, cloak? Nie mam wówczas żadnych dowodów na nieautoryzowane wtargnięcie, czym mam się podeprzeć? Podobnie jest w przypadku połączeń sieciowych, np. uruchomione procesy, jakie mam otwarte pliki, działające procesy, wywołania systemowe i bibliotek, sprawdzanie konkretnych hostów, połączeń za pomocą netstat, obserwacja ruchu sieciowego za pomocą tcpdump nie mam nic, podejrzane połączenia są ukrywane. Jedyne co wydaje się,że destrukcyjne działania robi w pamięci RAM, często obserwowany jest kernel panic. Czy można powiedzieć, że takie działania jak podsłuchiwanie i podglądanie wymierzone w neostradę, która "wisi" na jednym kablu z usługą telekomunikacyjną, dotyczy także telefonu? Czy zatem można powiedzieć, że ukrywając się korzysta z firmy hostingowej zasłaniając swoje prawdziwe IP?

[Mad_Dud]

Zawsze zostaja artefakty, ktorych nie da sie usunac z posiomu systemu. Przestan gdybac i jesli bierzesz sprawe powaznie, to zrob jak powiedzialem i na pewno uzyskasz zadowalajace wyniki.

Jesli telefon jest "voip" w neostradzie i intruz ma dostep do modemu, to wtedy istnieje prawdopodobienstwo uzyskania nieautoryzowanego dostepu do telefonii stacjonarnej.

[TQM]

Jak widze jak ktos tak chaotycznie zadaje pytania to mnie krew zalewa.

Jesli ktos niszczy slady to bedzie widac ze to robi.
Polaczen sieciowych nie monitoruje sie na maszynie ktora jest atakowana tylko na poziomie sieci tak aby odizolowac element ktoremu nie mozna ufac (atakowana maszyne).
Kernel Panic moze tez byc efektem tego ze sypie Ci sie RAM.
Neo i telefon nie maja wiele wspolnego i nawet jesli ktos wisi na twoim modemie to nie ma dostepu do telefonu, no chyba ze zmienil firmware ale wtedy masz wieksze problemy na glwoie niz Snowden
Nadal nie rozumiem o co chodzi z tym hostingiem.

Jesli chcesz jeszcze jakiekolwiek odpowiedzi dostac to pisz pytania logicznie i nie tak tasiemcowo bo skaczesz z tematu na temat bez ladu i skladu i sorry ale ja nie mam czasu na dekodowanie o co Ci chodzi. Konkretne pytanie, konkretna odpowiedz, ok?