Security Professionals
- ipfw add deny all from eindgebruikers to any
Reacties (48)
Zo.
Een behoorlijk lapje tekst.
Echter ik mis 1 ding in dit verhaal: de bron
Want IMHO riekt dit naar 1 of ander vaag chain mail / FUD verhaal.
Een behoorlijk lapje tekst.
Echter ik mis 1 ding in dit verhaal: de bron
Want IMHO riekt dit naar 1 of ander vaag chain mail / FUD verhaal.
30-11-2012, 11:11 door
SirDice
Je doet je naam eer aan, het is een behoorlijke brij karakters zonder enige structuur of inhoud.
30-11-2012, 11:25 door
[Account Verwijderd]
[Verwijderd]
30-11-2012, 11:29 door
[Account Verwijderd]
[Verwijderd]
30-11-2012, 11:33 door
AdVratPatat
Als ik begrijpend probeer te lezen, kom ik tot de conclusie dat je een hardware probleem hebt, een MALFUNCTION ipv MALWARE dus, maar dat sloopt inderdaad wel iedere OS.
Vooral de HDD, voeding en RAM eens goed inspecteren is mijn advies.
Cold-boot-usb infectie? Payload uploaden en ons linken naar VirusTotal aub?
Anders did not happen...
Tot slot, ik begrijp dat je niet echt "in het wereldje zit", maar om heel even mee te kijken onder het alu hoedje, waar is je GMER log?
Vooral de HDD, voeding en RAM eens goed inspecteren is mijn advies.
Cold-boot-usb infectie? Payload uploaden en ons linken naar VirusTotal aub?
Anders did not happen...
Tot slot, ik begrijp dat je niet echt "in het wereldje zit", maar om heel even mee te kijken onder het alu hoedje, waar is je GMER log?
30-11-2012, 11:36 door
[Account Verwijderd]
[Verwijderd]
30-11-2012, 11:38 door
SirDice
Volgens mij zie je spoken....
Het klinkt alsof je even rustig een kop thee moet drinken en een paar dagen achter de computer vandaan moet.
30-11-2012, 11:46 door
[Account Verwijderd]
[Verwijderd]
30-11-2012, 11:48 door
[Account Verwijderd]
[Verwijderd]
Ik zie nog steeds geen logs verschijnen waar al meerdere malen om is gevraagd.
Volgens mij leeft deze kerel totaal in zijn eigen wereldje waar momenteel een aluhoedje conventie word gehouden.
Pics or it didnt happen, end of story.
Volgens mij leeft deze kerel totaal in zijn eigen wereldje waar momenteel een aluhoedje conventie word gehouden.
Pics or it didnt happen, end of story.
30-11-2012, 11:55 door
SirDice
Door AdVratPatat: Als ik begrijpend probeer te lezen, kom ik tot de conclusie dat je een hardware probleem hebt,
Daar lijkt 't wel op inderdaad.
30-11-2012, 12:04 door
SirDice
Door chargen: zeker een debian gebruiker :-)
Nee, FreeBSD en ik kan je alvast vertellen dat FreeBSD geen GNU make gebruikt maar een eigen implementatie die daar totaal niet mee compatible is. Voor bepaalde ports wordt wel GNU make gebruikt. Daar komt nog bij dat make alleen gebruikt wordt wanneer je iets vanuit source bouwt. De meeste linux distributies installeren echter pre-compiled binaries en wordt heel make dus niet gebruikt.Wat me overigens wel opvalt, na het terugzetten van de backup is de infectie spontaan terug. Misschien kijk ik iets te simpel hoor maar heb je overwogen dat de infectie wellicht in je backup zit? En dat met het terugzetten van die backup je feitelijk jezelf weer infecteerd?
Wat staat er in die backups? Is dat alleen bestanden (Word, Foto's, etc.) of is dit een systeem backup (dus inclusief systeem binaries)?
30-11-2012, 12:06 door
[Account Verwijderd]
[Verwijderd]
30-11-2012, 12:10 door
[Account Verwijderd]
[Verwijderd]
30-11-2012, 12:11 door
[Account Verwijderd]
[Verwijderd]
30-11-2012, 12:14 door
[Account Verwijderd]
[Verwijderd]
30-11-2012, 12:27 door
[Account Verwijderd]
[Verwijderd]
30-11-2012, 12:28 door
SirDice
Door chargen: ja natuurlijk. Mijn voeding. Op meerdere systemen zelfs. Relevantie 0,0. Ga nou niet zitten trollen man :-)
Errmm.. Waarna wel duidelijk is dat je spoken ziet, niemand hier heeft het over een voeding gehad.als je je verveelt... heeft iemand wel verstand van zaken als het ZELF bouwen van software (met corrupte GNU onderdelen)
Is 15 jaar ervaring genoeg?glibc sources bleven ongemoeid tijdens het sloopproces (toen had ik zeker geen hardware malfunction heheh)
Wat heeft dat er mee te maken? Die vlieger gaat sowieso niet op omdat Solaris en FreeBSD geen glibc gebruiken, zij hebben hun eigen libc.
30-11-2012, 12:29 door
SirDice
Door chargen: omdat het een hardware fout betreft en niet de meestgebruikte privacy onderdelen van GNU stop ik nu met deze discussie :-)
Privacy onderdelen van GNU? Waar heb je het over?!?!?
30-11-2012, 12:33 door
SirDice
Door chargen: Man ik werk al jaren met freebsd. Het is gewoon een knap staaltje werk om iemand te naaien ongeacht welk systeem. Dit "ding" overschrijft gewoon alles ongeacht OS, of je nou zsh , sh, ksh , tcsh of NEE GEEN RESTRICTED SHELL. Sandboxed builden? en dat was foute boel. En tijdens het builden je mac adres veranderen? foute boel. tracen? foute boel. Ik kan het zo reproduceren maar die exploits zijn echt uniek. Dat ding doet via assembly ook nog systemcalls (ja tijdens een van de honderden subprocessen die van sockets wisselen)
(en dat kleine stukje is dan wel weer OS specifiek ivm de m32 of m64 of whatever die nodig heeft mappings) ik dacht inderdaad dat ik spoken zag :-) het is iig een briljante programmeur en multi-os data-terrorist. Met een google email adres.
(en dat kleine stukje is dan wel weer OS specifiek ivm de m32 of m64 of whatever die nodig heeft mappings) ik dacht inderdaad dat ik spoken zag :-) het is iig een briljante programmeur en multi-os data-terrorist. Met een google email adres.
Ik weet niet wat voor drugs je op hebt maar 't is bijna weekend en ik wil ook wel wat. Je gaat er flink van trippen, da's wel duidelijk.
30-11-2012, 12:34 door
[Account Verwijderd]
[Verwijderd]
30-11-2012, 12:42 door
[Account Verwijderd]
[Verwijderd]
30-11-2012, 12:52 door
[Account Verwijderd]
[Verwijderd]
30-11-2012, 13:49 door
SirDice
Door chargen: Spoken, malfunction, en iemand die mij komt vertellen dat freebsd geen gnu gebruikt.
Beter lezen knul, ik zei dat FreeBSD geen GNU make gebruikt behalve voor een aantal ports.Nou ja op GPG na dan maar dan op de freebsd manier. en liever niet met gnu maar wel met gcc ipv clang want dat werkt nog niet helemaal ;-)
Liever niet met GNU maar wel met GCC? Je weet hopelijk wel dat GCC ook GNU is, het ding heet dan ook de GNU Compiler Collection. Overigens werkt clang prima.
30-11-2012, 13:49 door
SirDice
Door chargen: Sir als jij nou via SSH of whatever ik pipe het wel door iets nu eens mijn corrupte VDI mount dan heb je ook wat te doen :-)
Zeg maar waar ik in kan loggen.
30-11-2012, 14:08 door
erazz
@sirdice
hij trolt volgens mij gewoon....
maar respect voor jou kennis en manier waarop je terug reageert ;)
hij trolt volgens mij gewoon....
maar respect voor jou kennis en manier waarop je terug reageert ;)
30-11-2012, 14:26 door
SirDice
Ach, 't is vrijdagmiddag. En ik wil die magische malware nu wel eens met m'n eigen ogen bekijken. Misschien leer ik er nog iets van. Al heb ik weinig hoop, veel zaken die genoemd zijn zijn of technisch niet mogelijk of ze zijn zo verschrikkelijk ver gezocht dat het totaal onpraktisch is om uit te voeren (er zijn veel makkelijkere manieren om iemand te infecteren met malware).
30-11-2012, 14:42 door
[Account Verwijderd]
[Verwijderd]
Door chargen: Even voor de duidelijkheid: voor de logs en "didnt hapen" : ik hoef niets te bewijzen, maargoed ik ben natuurlijk ook nieuwsgierig en ik wil mijn werk van die partities terug. Om relevante logs *voor derden* te achterhalen probeer ik nu raw te mounten. Ik kan nu niet honderden gigs doorsturen.
raw mounten? honderden gigabytes aan logfiles?
Of iemand moet het komen halen. Wat echt interessant moet zijn is de bootstrap van init en de freedesktop dbus daemon. En vervolgens het inzetten van een usbhook naar de host van een virtuele machine, dat is nieuw. Meer iets voor een linux-expert om naar te kijken en dat ben ik niet.
bootstrap van init?
Over dat GNU verhaal: dat is speculatie en ik had sysa. al ingelicht over die builds voordat het systeem werd gewist. Ik lees even terug en ik zie dat het verhaal een beetje (erg) verwarrend is.. gnu, glibc, freebsd etc. Ik denk dat het gerelateerd is aan wat ik heb veranderd maar dat is een ander verhaal.
ik snap er echt geen hout van hoor....
Het vreemde is dat met een USB linuxboot (van AVG) direct tijdens het scannen ook de USB stick omzeep gaat. Op een of andere manier is dat dan weer linux gerelateerd, het lezen van een geinfecteerde partitie is genoeg om te infecteren.
boot eens een cdrom kijk of die dan ook omzeep gaat?
Ik neem aan dat er wel mensen zijn die mij wel serieus willen nemen.
Vast wel...
raw mounten? honderden gigabytes aan logfiles?
Of iemand moet het komen halen. Wat echt interessant moet zijn is de bootstrap van init en de freedesktop dbus daemon. En vervolgens het inzetten van een usbhook naar de host van een virtuele machine, dat is nieuw. Meer iets voor een linux-expert om naar te kijken en dat ben ik niet.
bootstrap van init?
Over dat GNU verhaal: dat is speculatie en ik had sysa. al ingelicht over die builds voordat het systeem werd gewist. Ik lees even terug en ik zie dat het verhaal een beetje (erg) verwarrend is.. gnu, glibc, freebsd etc. Ik denk dat het gerelateerd is aan wat ik heb veranderd maar dat is een ander verhaal.
ik snap er echt geen hout van hoor....
Het vreemde is dat met een USB linuxboot (van AVG) direct tijdens het scannen ook de USB stick omzeep gaat. Op een of andere manier is dat dan weer linux gerelateerd, het lezen van een geinfecteerde partitie is genoeg om te infecteren.
boot eens een cdrom kijk of die dan ook omzeep gaat?
Ik neem aan dat er wel mensen zijn die mij wel serieus willen nemen.
Vast wel...
30-11-2012, 16:01 door
SirDice
Door chargen: Ik lees even terug en ik zie dat het verhaal een beetje (erg) verwarrend is.. gnu, glibc, freebsd etc. Ik denk dat het gerelateerd is aan wat ik heb veranderd maar dat is een ander verhaal.
Een beetje? Een beetje erg inderdaad, door m'n ADD kan ik meestal een verhaal wel volgen, ook al gaat van de hak op de tak (dat ben ik gewend) maar hier was ik echt de draad kwijt. Ik las vooral een hoop frustraties.Het vreemde is dat met een USB linuxboot (van AVG) direct tijdens het scannen ook de USB stick omzeep gaat. Op een of andere manier is dat dan weer linux gerelateerd, het lezen van een geinfecteerde partitie is genoeg om te infecteren.
Dat lijkt me toch echt sterk. Puur sang iets lezen infecteert niks. Er zal hoe dan ook ergens code moeten worden uitgevoerd om dat spul actief te krijgen. Nu is 't mogelijk dat er een bug in die software zit en door het lezen van bepaalde waarden een buffer overflow wordt getriggerd. Die vervolgens de malware start. Maar dat is wat ver gezocht en als je verschillende scanners en boot sticks hebt gebruikt zeer onwaarschijnlijk. Het is, statistisch gezien, nagenoeg onmogelijk om zoveel verschillende software met exact dezelfde exploit, op exact dezelfde manier, te misbruiken. Alleen al het gebruik van andere compiler opties geeft al een dusdanig verschil dat je dit nooit met zoveel zekerheid uitgevoerd krijgt.Ik neem aan dat er wel mensen zijn die mij wel serieus willen nemen.
Ik geloof best dat je iets hebt opgelopen, ik geloof alleen niet dat de impact en de reikwijdte van deze malware is zoals jij 't omschrijft.Ik ben natuurlijk wel erg dom geweest om na die virtualbox-breakout weer andere partities te starten. Het virus was natuurlijk op dat moment allang host-hooked en-geen-idee-wat nog meer er nodig was op het hostsysteem. De schredderacties zijn volgens mij in de basis vrij eenvoudig en werken (hopelijk) via shellscripts. Daar lijkt het in ieder geval op. De windows hostprocessen waren NIET win32*. die payload was 64 bits. Het virus heeft (vermoedelijk) een selfcontaining interpreter meegeleverd maar die moest dan weer os afhankelijk zijn.
Waarom vermoed je dat het scripts zijn en er een interpreter bij betrokken is? Waaruit blijkt dat?In de C:\cygwin zijn dan weer unix specifieke dingen uitgevoerd.
Ook dit vind ik erg sterk. Het zou de eerste Windows malware zijn die dit doet. Bovendien vraag ik me het nut (vanuit de malware gezien) daarvan af. Maar goed, de wonderen zijn de wereld nog niet uit.
30-11-2012, 17:29 door
Flexxy
Gelukkig begreep ik het grootste gedeelte wel ook dankzij de ADHD.. maar dacht toch even dat er eentje uit de matrix was gekropen en aan de slag was gegaan.. of iemand had HAL2000 echt uitgevonden... damn... o.0
Door Flexxy: Gelukkig begreep ik het grootste gedeelte wel ook dankzij de ADHD.. maar dacht toch even dat er eentje uit de matrix was gekropen en aan de slag was gegaan.. of iemand had HAL2000 echt uitgevonden... damn... o.0
Een zware compile job is een uitstekende stresstest van een heel systeem.
Ik denk eerder dat OP een ietwat gaar systeem heeft, en alle storingen en corruptie op alle lagen (host, guest etc) het gevolg zijn van wat omvallende bitjes (cpu/cache, ram, hd -> ram )
02-12-2012, 12:36 door
[Account Verwijderd]
[Verwijderd]
03-12-2012, 06:54 door
Gebruiker30037
chargen heeft denk ik het verhaal zelf bedacht
Door ??: chargen heeft denk ik het verhaal zelf bedacht
Dat is wel duidelijk jah.
03-12-2012, 11:02 door
AdVratPatat
Door Anoniem:
Nee joh, hij heeft gewoon geen OS meer over want zelfs live-cd's worden direct geïnfecteerd, hij moet een paar dagen bijslapen na alle inspanning, of hij is werkelijk begonnen met het probleem op te lossen en heeft dus geen tijd meer om hier nog meer onzin te posten. :pDoor ??: chargen heeft denk ik het verhaal zelf bedacht
Dat is wel duidelijk jah.Mooi dat SirDice zo netjes is om zijn kennis te delen op het gebied van de verschillende OS, beetje jammer dat de OP hier vervolgens weer onzin overheen lult en nu stil blijft...
Ik hou het toch op hardware-issues, zeker als problemen alleen op te lijken treden bij zware systeem-belasting.
Anders een probleempje met VB, aangezien alle problemen ook daaromheen op treden.
Herinstallatie van de gehele host (dus geen corrupte back-up) wil ook nog wel eens helpen...
04-12-2012, 05:51 door
Eric-Jan H te D
Door chargen: mijn hardware probleem is trouwens opgelost na een herinstallatie.
hahahaha.
hahahaha.
Vreemd. Starten van USB voor viruscontrole levert wel een onder besturing van "sloop"-virussen
draaiend systeem op, maar draaien van een installatie-medium voor herinstallatie niet.
Probeer mij dat eens uit te leggen.
04-12-2012, 06:50 door
Gebruiker30037
wellicht kan chargen logwatch runnen voor detaileerde gebeurtenissen
Door SirDice:
Euhm, nee, er is wel degelijk geadviseerd om de voeding na te kijken :
"Vooral de HDD, voeding en RAM eens goed inspecteren is mijn advies."
Door chargen: ja natuurlijk. Mijn voeding. Op meerdere systemen zelfs. Relevantie 0,0. Ga nou niet zitten trollen man :-)
Errmm.. Waarna wel duidelijk is dat je spoken ziet, niemand hier heeft het over een voeding gehad.Euhm, nee, er is wel degelijk geadviseerd om de voeding na te kijken :
"Vooral de HDD, voeding en RAM eens goed inspecteren is mijn advies."
Klinkt gewoon als rot RAM of zelfs een rotte HDD. MemTest86+ een aantal uurtjes draaien vanaf BootCD, of SpinRite voor de HDD en je moet uitsluitsel hebben ...
14-12-2012, 11:40 door
WhizzMan
Na 2 weken mogen de netwerkdumps toch wel eens gepubliceerd worden lijkt me? Of worden die ook magisch besmet?
Door WhizzMan: Na 2 weken mogen de netwerkdumps toch wel eens gepubliceerd worden lijkt me? Of worden die ook magisch besmet?
Not funny if you think its funny?
Niemand neemt mij serieus dus ik laat het hierbij. Iig bedankt voor de 'leuke' aandacht. Zie AVG fora, daar hebben ze het e.e.a. ontdekt.
17-12-2012, 14:14 door
BaseMent
Volgens mij werd je wel serieus genomen maar wordt er om een log oid gevraagd. Niet om te kunnen zien of het waar is, maar om te kunnen vaststellen wat er gebeurd.
Om je te helpen dus!!!
Als je dan gaat draaien maak je jezelf ongeloofwaardig en moet je niet afhaken. Het is toch niet zo gek dat er gevraagd wordt naar een log ofzo?
Om je te helpen dus!!!
Als je dan gaat draaien maak je jezelf ongeloofwaardig en moet je niet afhaken. Het is toch niet zo gek dat er gevraagd wordt naar een log ofzo?
17-12-2012, 15:24 door
M_iky
Op dit forum is er nochtans gelijkaardig gereageerd als hier, dus daar ving je ook bot?
https://forums.oracle.com/forums/thread.jspa?threadID=2470446.
Zou je zo vriendelijk willen zijn om de oplossing/fora ook even te posten, dan kunnen we daar ff meelezen wat er nu juist aan de hand was.
https://forums.oracle.com/forums/thread.jspa?threadID=2470446.
Zou je zo vriendelijk willen zijn om de oplossing/fora ook even te posten, dan kunnen we daar ff meelezen wat er nu juist aan de hand was.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.