Download
1 / 4
40 likes | 163 Views
Intrång i en IdP – vad hände. 2011-09-17 08:01:27 idp. X .se börjar skicka ut phisingmail 2011-09-17 08:59:08 skickas det sista mailet från servern, totalt 4257 mail skickas iväg 2011-09-17 12:03 En person skickar vidare ett mail till SUNET-CERT
E N D
Intrång i en IdP – vad hände • 2011-09-17 08:01:27 idp.X.se börjar skicka ut phisingmail • 2011-09-17 08:59:08 skickas det sista mailet från servern, totalt 4257 mail skickas iväg • 2011-09-17 12:03 En person skickar vidare ett mail till SUNET-CERT • 2011-09-17 15:11 SUNET-CERT får kontakt med en administratör som stänger ner servern
Intrång i en IdP – Forensics • Vmware-imagen skickas till SUNET-CERT för en genomgång • Datum på sshd och sshd_config var 2011-08-30, servern är knäckt detta datum • Uppkopplingsförsök mot SSH har gjorts från 195.60.77.236 (Rumänien) tio minuter innan mailen börjar skickas • Ytterligare en knäckt server hittades och åtgärdades • FakeRoot Solaris/SVR4/SVR5 Build System - Prototype
Intrång i en IdP – Påverkan • Shibboleth har ej haft tillgång till användares lösenord, endast attribut som skickas vidare • Inloggningen har skett på en annan maskin (CAS) så inga uppgifter har matats in av användare • Administratörer har använt SSH-nycklar, som är utbytta och administratörslösenorden byttes • Ingenting tyder på att federerade användaruppgifter har blivit stulna
Intrång i en IdP – Lärdomar • Håll koll på brandväggar och liknande, ingen behöver t.ex. SSH-access till en idp förutom administratörer. • Säkra upp systemet, kör ingenting som inte är absolut nödvändigt • Patchar, patchar och ännu mera patchar • Loggar, logga alltid till en extern loghost • SSH, stäng ner PasswordAuthentication och använd enbart nycklar • Scanna servrar regelbundet efter versioner och portar
