Denuncie   Favoritos   Indicar  

Rede infectada com BotNet

1. Rede infectada com BotNet

Yehia Azanki Neto
iknaza
(usa Slackware)

Enviado em 19/05/2017 - 14:05h

Olá, tenho um provedor de internet em minha cidade, e recentemente recebi esse email da cert.br:


Caro responsavel,

Recebemos um conjunto de informacoes que descrevem IPs de sua
responsabilidade possivelmente infectados com um software malicioso. Tal
software permite que seu sistema seja utilizado em atividades ilicitas.

Em particular, temos indicios que seu computador ou smartphone faca
parte de uma infraestrutura de controle remota denominada "Avalanche".
Em conjunto com diversas entidades internacionais essa infraestrutura
foi desativada e os sistemas infectados foram identificados. Mais
detalhes da operacao onde a infraestrutura foi desativada podem ser
obtidas em:

https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/BotNetze/BotNets/botnets_node.html

Pedimos sua colaboracao na investigacao deste incidente e desinfeccao
das maquinas sob sua responsabilidade. E, se possivel, que a maquina
em questao seja limpa usando softwares de remocao de malwares ou seja
reinstalada com uma versao atualizada do sistema operacional e
aplicativos.

As informacoes abaixo descrevem logs que identificam maquinas de sua
responsabilidade.

======================================================================
Formato: ASN,IP,CC,Horario (UTC),Malware,Porta de Origem,IP de Destino,Porta de Destino,Hostname de Destino

"61689","MEU_IP","BR","2017-05-16 22:53:52","marcher","52459","IP","80","bastebirk.com"
======================================================================

Caso o IP presente nos logs fornecidos seja de seu NAT ou Firewall,
solicitamos que realizem uma correlacao entre os logs fornecidos e os
de seu NAT ou Firewall para que a maquina infectada seja encontrada.
Essa e' a unica informacao que nos foi provida.


Alguém tá ciente ou já passou por isso??? Qual a melhor solução de bloqueio???

0 0
  • Quote

    •   


    2. Re: Rede infectada com BotNet

    Perfil removido
    removido
    (usa Nenhuma)

    Enviado em 19/05/2017 - 15:19h

    iknaza escreveu:

    Olá, tenho um provedor de internet em minha cidade, e recentemente recebi esse email da cert.br:


    Caro responsavel,

    Recebemos um conjunto de informacoes que descrevem IPs de sua responsabilidade possivelmente infectados com um software malicioso. Tal software permite que seu sistema seja utilizado em atividades ilicitas.


    
Quem é o responsável por fornecer ips aos clientes? Será que é o provedor de internet?
    
A responsabilidade pela rede é dele.



    Em particular, temos indicios que seu computador ou smartphone faca parte de uma infraestrutura de controle remota denominada "Avalanche".
    Em conjunto com diversas entidades internacionais essa infraestrutura foi desativada e os sistemas infectados foram identificados. Mais detalhes da operacao onde a infraestrutura foi desativada podem ser obtidas em:

    https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/BotNetze/BotNets/botnets_node.html

     November 30th, 2016


    Pedimos sua colaboracao na investigacao deste incidente 
     OK


    e desinfecção das maquinas sob sua responsabilidade.

    É claro ou seria do  provedor de internet.
    

    
Isso pode carateriza um crime do  provedor de internet por esta discriminando vírus pela rede. Falta de politica de segurança e negligência.
    

    
Verificar:
    

    
Código de Defesa do Consumidor
    

    
LEI Nº 8.078, DE 11 DE SETEMBRO DE 1990.
    

    
http://www.planalto.gov.br/ccivil_03/leis/L8078.htm 
    

    
Lei Carolina Dieckmann: crime de invasão de dispositivo informático
    

    
LEI Nº 12.737, DE 30 DE NOVEMBRO DE 2012.
    

    
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm


    E, se possivel, que a maquina em questao seja limpa usando softwares de remocao de malwares ou seja reinstalada com uma versao atualizada do sistema operacional e aplicativos.

    Essas soluções não resolve o problema.



    As informações abaixo descrevem logs que identificam maquinas de sua responsabilidade.

    ======================================================================
    Formato: ASN,IP,CC,Horario (UTC),Malware,Porta de Origem,IP de Destino,Porta de Destino,Hostname de Destino

    "61689","MEU_IP","BR","2017-05-16 22:53:52","marcher","52459","IP","80","bastebirk.com"
    ======================================================================

    Caso o IP presente nos logs fornecidos seja de seu NAT ou Firewall, solicitamos que realizem uma correlação entre os logs fornecidos e os de seu NAT ou Firewall para que a maquina infectada seja encontrada.
    Essa é a única informação que nos foi provida.


    

    
Maquina infectada a única solução é pegar todas as informações do ataque e depois formatar.
    

    
Só regra de iptables não é solução.



    Alguém tá ciente ou já passou por isso??? 

    NÃO


    Qual a melhor solução de bloqueio???

    Procurar outro provedor.




    Muitos blogs e sites vêm divulgando alguns scripts milagrosos que prometem parar ou mitigar ataques DDoS utilizando regras para o Iptables, eles mais parecem propaganda religioso que passam de madrugada.

    Os scripts pode possui uma série de interpretações que levam ao erro, principalmente para aqueles que estão começando na área.

    O importante, é entender como é originado, feito e direcionado um ataque, para dar inicio ao processo de mitigação.


    0 0
  • Quote

    • 3. Re: Rede infectada com BotNet

    Perfil removido
    removido
    (usa Nenhuma)

    Enviado em 19/05/2017 - 15:22h

    Que absurdo! Não entendi se essa mensagem é séria mesmo.

    ----------------------------------------------------------------------------------------------------------------
    Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
    (anônimo)

    Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden


    0 0
  • Quote

    • 4. Re: Rede infectada com BotNet

    Yehia Azanki Neto
    iknaza
    (usa Slackware)

    Enviado em 19/05/2017 - 15:29h

    listeiro_037 escreveu:

    Que absurdo! Não entendi se essa mensagem é séria mesmo.

    ----------------------------------------------------------------------------------------------------------------
    Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
    (anônimo)

    Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden


    Sim... recebi isso mesmo... tenho várias dúvidas sobre isso...

    0 0
  • Quote

    • 5. Re: Rede infectada com BotNet

    Perfil removido
    removido
    (usa Nenhuma)

    Enviado em 19/05/2017 - 15:59h

    iknaza escreveu:

    listeiro_037 escreveu:

    Que absurdo! Não entendi se essa mensagem é séria mesmo.

    ----------------------------------------------------------------------------------------------------------------
    Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
    (anônimo)

    Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden


    Sim... recebi isso mesmo... tenho várias dúvidas sobre isso...


    Você pediu para receber algum e-mail da cert.br?

    Pode ser e-mail falso.




    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Criando um gateway de internet com o Debian

    Configuração básica do Conky para mostrar informações sobre a sua máquina no Desktop

    Aprenda a criar músicas com Inteligência Artificial usando Suno AI

    Entendendo o que é URI, URL, URN e conhecendo as diferenças entre POST e GET

    Ativando o Modo Noturno via Linha de Comando no GNOME/Wayland

    Dicas

    Preparando pendrive com GNU/Linux [Corretamente!]

    Instalando Google Chrome no Fedora 40

    Habilitando a importação de senhas no Firefox

    Como corrigir o erro do VirtualBox travar a máquina virtual em tela cheia

    Instalando Google Chrome no Ubuntu 24.04 LTS

    Tópicos

    Como saber quantas impressões foram feitas pela impressora? (3)

    Altera pacote .pkg.tar do Arch Linux (17)

    alterar o tamanho da tela do monitor via xrandr (2)

    Dificuldade de instalar Apache Office no Zorin17 (0)

    Acesso remoto via SSH por Script numa virtualbox (1)

    Top 10 do mês

    Scripts

    [Python] Adicione a opção Redimensionar e rotacionar imagens ao Nautilus

    [Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse

    [Shell Script] Script para criar certificados de forma automatizada no OpenVpn

    [Shell Script] Conversor de vídeo com opção de legenda

    [C/C++] BRT - Bulk Renaming Tool

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: