Abuse Melding

Je hebt een klacht over de onderstaande posting:

27-02-2020, 12:41 door Anoniem

Door Anoniem: Om de AWS security groups te omzeilen stuurden de aanvallers onschuldig lijkende requests naar de webserver op de normale webserverpoorten. Een malwaremodule die het inkomende verkeer inspecteerde voordat het de webserver bereikte onderschepte de speciaal geprepareerde requests van de aanvallers en stuurde de instructies daarin door naar de malware. Deze instructies waren vermomd als het source poortnummer. Dit klinkt als één regel in iptables. je bedoeld blocken op source port? lijkt me niet handig dan block je wellicht ook legitiem verkeer. beter gebruik je snort en schrijf je een rule die de magic header "0xFC72E392" er uit vist. verder doet de rootkit blijkbaar weinig moeite omzich zelf te verstoppen en is makkelijk te vinden in geladen modules: snd_floppy of netstat waar je een process ziet luitsteren dat 'snoopy' heet. sowieso altijd handig om minimaal 1 keer per dag rootkit hunter te draaien.

Beschrijf je klacht (Optioneel):

captcha