Wenn Sie möchten, dass es aus geschäftlichen Gründen analysiert wird, müssen Sie einen entsprechend qualifizierten Berater für forensische Vorfallreaktion finden (entschuldigen Sie den Jargon: 'Ein Typ für die Protokollanalyse'). Diese kosten in der Regel viel Geld.

Beachten Sie jedoch, dass die meisten Botnet-Bereitstellungen nicht zielgerichtet und sehr weit verbreitet sind. Es gibt wahrscheinlich nicht viel darüber zu lernen, was noch nicht bekannt ist und was alle anderen betrifft. Gruppen, die sich mit fortgeschrittenen Bedrohungen befassen, werden an solchen Dingen nicht sonderlich interessiert sein, aber Sie könnten Glück mit einem AV-Anbieter haben. Symantec, Sophos usw. sammeln diese Art von Daten manchmal gerne für ihre Hochglanz-Whitepaper.

Die interessantesten Protokolle werden diejenigen sein, kurz bevor der verdächtige Datenverkehr beginnt, wenn das Botnetz das System tatsächlich ausnutzt. da Sie dann eine Obduktion des Angriffs durchführen können. Ich werde jedoch meine erstaunlichen psychischen Fähigkeiten einsetzen, um zu behaupten, dass etwas nicht angemessen gepatcht wurde, und so kam der Bot ins Spiel.

Nachtrag: Aus Liebe zu den Göttern geben Sie nicht nur Zugang zu Ihre Systeme (oder vertrauliche Daten auf Ihren Systemen) an eine zufällige Person auf dieser Site.

Wenden Sie sich an das FBI oder an jemanden, der für diese Art von Computerkriminalität in Ihrem Land zuständig ist. Was auf Ihrem System getan wird, ist ein ziemlich schweres Verbrechen, und an vielen Orten ist es selbst ein Verbrechen, ein Verbrechen wissentlich nicht zu melden. Das Letzte, was Sie möchten, ist, dass die unschuldigen Opfer (Sie selbst und Ihr Kunde, den Sie aufnehmen) einer gesetzlichen Haftung ausgesetzt sind.

Als Erstes müssen Sie es dem Incident-Response-Team in Ihrer Organisation oder dem entsprechenden Sicherheitsteam melden.

Zweitens können Sie die Webserver-Protokolle überprüfen. Auf diese Weise erhalten Sie umfassende Hinweise darauf, wer darauf zugegriffen hat und welche Webanforderungen gestellt wurden (URL-Pfade werden angezeigt).

Wenn Sie Live-Daten erfassen möchten, verwenden Sie Paketanalysator- / Sniffer-Dienstprogramme wie tcpdump oder ethereal und hören Sie auf die entsprechende Schnittstelle. Verwenden Sie danach Filter, um die Quelle / das Ziel anzuzeigen, und es sollte Ihnen die gesamte Kommunikation zwischen dem böswilligen Remoteserver und Ihrem Server mitteilen.

Eines der Dinge, die Sie sich vielleicht fragen möchten, ist: "Was ist Ihre Motivation hier?"

z.B. 1. Finden Sie heraus, wie der Vorfall passiert ist, um eine Wiederholung zu vermeiden. 2. Schützen Sie sich aus Haftungsgründen 3. Lassen Sie die Bösen bestrafen 4. Helfen Sie Sicherheitsforschern, indem Sie den Exploit kennen.

Ich bezweifle, dass dies die Nummer 1 ist, da Sie sagen, dass das Anmeldekennwort am Ende des Kunden kompromittiert zu sein scheint . # 3 scheint extrem abgelegen. Auch # 4 scheint unwahrscheinlich, es sei denn, Sie sind wirklich auf etwas wirklich Neues gestoßen.

Ich würde also sagen, einen Bericht einreichen. Oft werden die örtlichen Polizeibehörden eine einreichen, obwohl ihnen wahrscheinlich die Fähigkeiten zur Untersuchung fehlen. Stellen Sie sicher, dass Sie Dinge dokumentieren und eine Spur von Papierkram hinterlassen

Zusätzlich zur Kontaktaufnahme mit den Strafverfolgungsbehörden, zum Sperren Ihrer Maschinen und zur Einführung von Kontrollen, um auf zukünftige Vorfälle aufmerksam zu machen. Vielleicht möchten Sie eine Organisation wie die Red Sky Alliance kontaktieren / beitreten. Sie möchten niemandem (insbesondere zufälligen Personen im Internet, was im Wesentlichen das ist) Zugriff auf Ihr System oder Ihre Daten gewähren - Sie sollten dies jedoch nach Möglichkeit in einem kontrollierten Forum teilen. Sie und andere Teilnehmer werden davon profitieren. Andere potenzielle Orte, an denen Sie nach „legitimen“ Personen suchen können, mit denen Sie sich austauschen können, sind möglicherweise SANS oder OSZE, da Sie aus Ihrem Profil heraus in den Niederlanden zu sein scheinen.