Derzeit keine.

Meldungstyp: Botnet Control Server

Als Botnet wird eine Menge von kompromittierten Systemen bezeichnet, die sich vollständig unter der Kontrolle eines Angreifers befinden. Dies sind oft normale Arbeitsplatzrechner, in die über eine beliebige Schwachstelle eingebrochen wurde. Nach dem Einbruch installierte der Angreifer eine Bot-Software, die versteckt auf dem System läuft und über einen Control Channel eine Verbindung zu einem zentralen Botnet Control Server hält. Über diesen Botnet Control Server kann der Angreifer dem System, zusammen mit allen anderen von ihm kontrollierten Rechnern, Befehle geben. In der Praxis wird von den Angreifern oft ein IRC-Server als Botnet Control Server verwendet. Die Bot-Software verbindet sich über das IRC-Protokoll zu einem bestimmten Channel und wartet dort auf Befehle.

Wenn Sie eine Meldung bzgl. eines Botnet Control Servers bekommen, wird mit der Hilfe eines Ihrer Systeme ein Botnet gesteuert. Evtl. wird ein regulär von Ihnen betriebener IRC-Server für derartige Zwecke missbraucht oder auf einem kompromittierten System wird ein solcher Server betrieben. Sie sollten das betreffende System auf jeden Fall daraufhin untersuchen, ob dort ein IRC Server läuft. Dieser wartet häufig auf einem hohen TCP-Port auf eingehende Verbindungen und es ist evtl. eine Vielzahl eingehender oder bestehender Verbindungen zu beobachten.

Teilweise kann bei so einer Meldung lediglich der Zeitpunkt angegeben werden, zu dem der Botnet Control Server zuletzt gesehen wurde. Ein typisches Beispiel:

 

System:       10.10.14.186
Meldungstyp:  Botnet Control Server
Zeitstempel:  2008-02-05 09:19:03 GMT+01 (Winterzeit)
Beschreibung: Das System scheint als Botnet Control Server missbraucht
              zu werden.

 

 

 

 


		
			
     aktualisiert am: 07.09.2015 |