Denuncie   Favoritos   Indicar  

Rede infectada com BotNet

1. Rede infectada com BotNet

Yehia Azanki Neto
iknaza
(usa Slackware)

Enviado em 19/05/2017 - 14:05h

Olá, tenho um provedor de internet em minha cidade, e recentemente recebi esse email da cert.br:


Caro responsavel,

Recebemos um conjunto de informacoes que descrevem IPs de sua
responsabilidade possivelmente infectados com um software malicioso. Tal
software permite que seu sistema seja utilizado em atividades ilicitas.

Em particular, temos indicios que seu computador ou smartphone faca
parte de uma infraestrutura de controle remota denominada "Avalanche".
Em conjunto com diversas entidades internacionais essa infraestrutura
foi desativada e os sistemas infectados foram identificados. Mais
detalhes da operacao onde a infraestrutura foi desativada podem ser
obtidas em:

https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/BotNetze/BotNets/botnets_node.html

Pedimos sua colaboracao na investigacao deste incidente e desinfeccao
das maquinas sob sua responsabilidade. E, se possivel, que a maquina
em questao seja limpa usando softwares de remocao de malwares ou seja
reinstalada com uma versao atualizada do sistema operacional e
aplicativos.

As informacoes abaixo descrevem logs que identificam maquinas de sua
responsabilidade.

======================================================================
Formato: ASN,IP,CC,Horario (UTC),Malware,Porta de Origem,IP de Destino,Porta de Destino,Hostname de Destino

"61689","MEU_IP","BR","2017-05-16 22:53:52","marcher","52459","IP","80","bastebirk.com"
======================================================================

Caso o IP presente nos logs fornecidos seja de seu NAT ou Firewall,
solicitamos que realizem uma correlacao entre os logs fornecidos e os
de seu NAT ou Firewall para que a maquina infectada seja encontrada.
Essa e' a unica informacao que nos foi provida.


Alguém tá ciente ou já passou por isso??? Qual a melhor solução de bloqueio???

0 0
  • Quote

    •   


    2. Re: Rede infectada com BotNet

    Perfil removido
    removido
    (usa Nenhuma)

    Enviado em 19/05/2017 - 15:19h

    iknaza escreveu:

    Olá, tenho um provedor de internet em minha cidade, e recentemente recebi esse email da cert.br:


    Caro responsavel,

    Recebemos um conjunto de informacoes que descrevem IPs de sua responsabilidade possivelmente infectados com um software malicioso. Tal software permite que seu sistema seja utilizado em atividades ilicitas.


    
Quem é o responsável por fornecer ips aos clientes? Será que é o provedor de internet?
    
A responsabilidade pela rede é dele.



    Em particular, temos indicios que seu computador ou smartphone faca parte de uma infraestrutura de controle remota denominada "Avalanche".
    Em conjunto com diversas entidades internacionais essa infraestrutura foi desativada e os sistemas infectados foram identificados. Mais detalhes da operacao onde a infraestrutura foi desativada podem ser obtidas em:

    https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/BotNetze/BotNets/botnets_node.html

     November 30th, 2016


    Pedimos sua colaboracao na investigacao deste incidente 
     OK


    e desinfecção das maquinas sob sua responsabilidade.

    É claro ou seria do  provedor de internet.
    

    
Isso pode carateriza um crime do  provedor de internet por esta discriminando vírus pela rede. Falta de politica de segurança e negligência.
    

    
Verificar:
    

    
Código de Defesa do Consumidor
    

    
LEI Nº 8.078, DE 11 DE SETEMBRO DE 1990.
    

    
http://www.planalto.gov.br/ccivil_03/leis/L8078.htm 
    

    
Lei Carolina Dieckmann: crime de invasão de dispositivo informático
    

    
LEI Nº 12.737, DE 30 DE NOVEMBRO DE 2012.
    

    
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm


    E, se possivel, que a maquina em questao seja limpa usando softwares de remocao de malwares ou seja reinstalada com uma versao atualizada do sistema operacional e aplicativos.

    Essas soluções não resolve o problema.



    As informações abaixo descrevem logs que identificam maquinas de sua responsabilidade.

    ======================================================================
    Formato: ASN,IP,CC,Horario (UTC),Malware,Porta de Origem,IP de Destino,Porta de Destino,Hostname de Destino

    "61689","MEU_IP","BR","2017-05-16 22:53:52","marcher","52459","IP","80","bastebirk.com"
    ======================================================================

    Caso o IP presente nos logs fornecidos seja de seu NAT ou Firewall, solicitamos que realizem uma correlação entre os logs fornecidos e os de seu NAT ou Firewall para que a maquina infectada seja encontrada.
    Essa é a única informação que nos foi provida.


    

    
Maquina infectada a única solução é pegar todas as informações do ataque e depois formatar.
    

    
Só regra de iptables não é solução.



    Alguém tá ciente ou já passou por isso??? 

    NÃO


    Qual a melhor solução de bloqueio???

    Procurar outro provedor.




    Muitos blogs e sites vêm divulgando alguns scripts milagrosos que prometem parar ou mitigar ataques DDoS utilizando regras para o Iptables, eles mais parecem propaganda religioso que passam de madrugada.

    Os scripts pode possui uma série de interpretações que levam ao erro, principalmente para aqueles que estão começando na área.

    O importante, é entender como é originado, feito e direcionado um ataque, para dar inicio ao processo de mitigação.


    0 0
  • Quote

    • 3. Re: Rede infectada com BotNet

    Perfil removido
    removido
    (usa Nenhuma)

    Enviado em 19/05/2017 - 15:22h

    Que absurdo! Não entendi se essa mensagem é séria mesmo.

    ----------------------------------------------------------------------------------------------------------------
    Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
    (anônimo)

    Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden


    0 0
  • Quote

    • 4. Re: Rede infectada com BotNet

    Yehia Azanki Neto
    iknaza
    (usa Slackware)

    Enviado em 19/05/2017 - 15:29h

    listeiro_037 escreveu:

    Que absurdo! Não entendi se essa mensagem é séria mesmo.

    ----------------------------------------------------------------------------------------------------------------
    Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
    (anônimo)

    Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden


    Sim... recebi isso mesmo... tenho várias dúvidas sobre isso...

    0 0
  • Quote

    • 5. Re: Rede infectada com BotNet

    Perfil removido
    removido
    (usa Nenhuma)

    Enviado em 19/05/2017 - 15:59h

    iknaza escreveu:

    listeiro_037 escreveu:

    Que absurdo! Não entendi se essa mensagem é séria mesmo.

    ----------------------------------------------------------------------------------------------------------------
    Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
    (anônimo)

    Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden


    Sim... recebi isso mesmo... tenho várias dúvidas sobre isso...


    Você pediu para receber algum e-mail da cert.br?

    Pode ser e-mail falso.




    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Compartilhando a tela do Computador no Celular via Deskreen

    Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    O mínimo que você precisa saber sobre o terminal (parte 2)

    O mínimo que você precisa saber sobre o terminal (parte 1)

    Dicas

    Efeito "livro" em arquivos PDF

    Como resolver o erro no CUPS: Unable to get list of printer drivers

    Flatpak: remover runtimes não usados e pacotes

    Mudar o gerenciador de login (GDM para SDDM e vice-versa) - parte 2

    Como deixar as abas do Firefox mais fininhas

    Tópicos

    Definir tempo limite para acesso ssh (4)

    Problema instalação do sige software gestão escolar script gratuito (0)

    Tentando instalar o Ekattor School no xampp (3)

    Squid + Load Balance - Problemas com meu Squid (9)

    Acesso porta 3000 (0)

    Top 10 do mês

    Scripts

    [Python] Automação de scan de vulnerabilidades

    [Python] Script para analise de superficie de ataque

    [Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

    [Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

    [Shell Script] Script para adicionar bordas às imagens de uma pasta

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: