Intrång i en IdP – vad hände 2011-09-17 08:01:27 idp. X.se börjar skicka ut phisingmail 2011-09-17 08:59:08 skickas det sista mailet från servern, totalt.

En presentation över ämnet: "Intrång i en IdP – vad hände 2011-09-17 08:01:27 idp. X.se börjar skicka ut phisingmail 2011-09-17 08:59:08 skickas det sista mailet från servern, totalt."— Presentationens avskrift:

1 Intrång i en IdP – vad hände 2011-09-17 08:01:27 idp. X.se börjar skicka ut phisingmail 2011-09-17 08:59:08 skickas det sista mailet från servern, totalt 4257 mail skickas iväg 2011-09-17 12:03 En person skickar vidare ett mail till SUNET- CERT 2011-09-17 15:11 SUNET-CERT får kontakt med en administratör som stänger ner servern

2 Intrång i en IdP – Forensics Vmware-imagen skickas till SUNET-CERT för en genomgång Datum på sshd och sshd_config var 2011-08-30, servern är knäckt detta datum Uppkopplingsförsök mot SSH har gjorts från 195.60.77.236 (Rumänien) tio minuter innan mailen börjar skickas Ytterligare en knäckt server hittades och åtgärdades Fake Root Solaris/SVR4/SVR5 Build System - Prototype

3 Intrång i en IdP – Påverkan Shibboleth har ej haft tillgång till användares lösenord, endast attribut som skickas vidare Inloggningen har skett på en annan maskin (CAS) så inga uppgifter har matats in av användare Administratörer har använt SSH-nycklar, som är utbytta och administratörslösenorden byttes Ingenting tyder på att federerade användaruppgifter har blivit stulna

4 Intrång i en IdP – Lärdomar Håll koll på brandväggar och liknande, ingen behöver t.ex. SSH-access till en idp förutom administratörer. Säkra upp systemet, kör ingenting som inte är absolut nödvändigt Patchar, patchar och ännu mera patchar Loggar, logga alltid till en extern loghost SSH, stäng ner PasswordAuthentication och använd enbart nycklar Scanna servrar regelbundet efter versioner och portar