CBL resuts
of 5
-
Upload
kingluksee -
Category
Documents
-
view
7 -
download
0
description
CBL black list
Transcript of CBL resuts
-
portugus
Poweredby Tradutor
Estatsticas CBL CBL FAQ CBL CASA Poltica de Privacidade
CBL Lookup Utility com grande pesar que temos implementado um captcha nesta pgina. Aps 11 anos, o nmero de consultas / abusivas automatizados tm crescido to alto que agora necessrio. S permitida a utilizao manual de consulta desta pgina. Todos / as consultas com scripts automatizados so proibidos, e pode resultar emlista do endereo IP de origem.
Endereo de IP: 187.45.195.33
Endereo IP 187.45.195.33 est listado na CBL. Ele mostra sinais de estar infectado com um trojan envio de spam, link malicioso ou alguma outra forma debotnet.
IMPORTANTEPodemos agora dizer que o problema descrito a seguir foi corrigido. Temos mantido uma cpia completa do que informaes de diagnsticoabaixo. Se voc no fosse a pessoa que resolveu o problema, ns recomendamos a leitura da seo abaixo.
O link para remoo IP agora aparece na parte inferior.
Este endereo IP corresponde a um web site que est infectado com um spam ou malware ligao encaminhamento / redirecionamento.
Em outras palavras, o site foi hackeado e est servindo de links de redirecionamento para spam ou malware. Tambm quase certamente o enviode spam tambm.
Recomendamos que voc reveja as instrues abaixo, de modo a evitar que isso acontea no futuro.
O nome do host infectado "rroyo.com.br", e esta ligao tem um exemplo de redirecionamento malicioso o: "http://rroyo.com.br/wp-content/plugins/hundredfold.php" Dependendo do tipo de infeco , pode haver dezenas de pginas de redirecionamento mais maliciosos sobrroyo.com.br.
AVISO Como o link conhecido por mal-intencionado, visitar esse link por sua conta e risco.
Se rroyo.com.br no o seu anfitrio, no h nada que voc pode fazer para corrigir esse problema: em contato com o hoster e t-los corrigi-lo.
Se voc o administrador, procurando seus registros do servidor da web para rroyo.com.br provavelmente vai revelar outras cpias desses linksmaliciosos, bem como as ligaes-comando e controle (muitas vezes .php).
Uma empresa de hospedagem informou que o script malicioso foi chamado de "mainik.php" e foi retirado endereos IP russos.
Se o problema no for resolvido, este ser sem dvida obter listados novamente, e corre o risco de ter a CBL no permitir novas remoes.Portanto, no basta sada da IP e esperar que ela para ficar excludos, a menos que a causa raiz est resolvido.
Em outras palavras, corrigi-lo! Ou correr o risco de auto-remoes sejam recusadas anncios futuros.
Servidores infectados so geralmente compartilhados ambientes de hospedagem web que executam o Cpanel, Plesk, Joomla ou softwareWordpress CMS que tornaram-se comprometido, seja atravs de uma vulnerabilidade (ou seja, o software CMS est desatualizada e precisa depatching), ou conta de usurios de informao (userids / senhas) tm sido comprometida, e maliciosas de software / arquivos esto sendoenviados por ftp ou SSL. Existem vrias "famlias" diferentes de malware fazendo isso, inclusive DarkMailer, DirectMailer, Stealrat e outros.Como conseqncia disso, as instrues abaixo se concentrar em encontrar o problema, no importa o que .
Importante: Basta remover o link malicioso, em geral, no impedir recadastramentos futuras. De fato, vrios dos botnets que fazem isso temliteralmente dezenas de redirecionamentos maliciosos sob o mesmo hostname (conta webhosting), outros links maliciosos (por exemplo: emStealrat o comando e controle .php script), e pode haver mais do que uma conta webhosting infectada na mesma mquina. Enquanto o manual delimpeza de uma dessas infeces, s vezes funciona, geralmente muito difcil ter certeza de que voc tem tudo. Recomendamos desabilitar aconta, em seguida, reinstalar a conta de backups.
Privacidade e Termos
Type the text
Foi detectado pela ltima vez em 2015/09/03 06:00 GMT (+/- 30 minutos), aproximadamente 5 dias, 9 horas atrs.
Textooriginal
It was last detected at 20150903 06:00 GMT (+/ 30 minutes),approximately5days,9hoursago.
Sugiraumatraduomelhor
Traduzidopara:portugus Mostrarooriginal Opes
-
conta, em seguida, reinstalar a conta de backups.
Acreditamos que essas infeces especficas so freqentemente feito atravs da alterao do servidor web mecanismos de controle de acesso(exemplo, ".htaccess" arquivos em servidores web Apache), e fazendo com que o redirecionamento para ocorrer em todos os "404 url noencontrado" erros. Ns apreciaramos se voc pode nos dar cpias das modificaes que esta infeco tem feito para o seu sistema.
provvel que a alterao foi feita via SSL ou ftp faa o login usando ID do usurio / senha roubada do "dono" do nome do host / domnio. Elesdevem executar ferramentas anti-vrus em seus computadores, e a senha que eles usam para acessar o site deve ser mudado imediatamente.
Se voc no reconhecer o nome de host rroyo.com.br como pertencentes a voc, isso significa que alguma outra conta neste site de hospedagemcompartilhada foi comprometida, e no h nada que voc (ou eu) pode fazer para corrigir a infeco. Apenas o administrador desta mquina ou oproprietrio do rroyo.com.br pode corrigi-lo.
Abaixo ns inclumos algumas informaes que devem ajud-lo a encontrar e resolver o problema. Mas, novamente, se no for a sua conta dehospedagem que est infectado, improvvel que voc ser capaz de consert-lo.
Nota especial: este anncio baseado em deteco de uma pgina redirecionador malicioso. Grande parte dos seguintes fala sobre a deteco dee-mail malicioso sada. Enquanto a maioria dos web hosts infectados pelo redirecionador tambm ser o envio de e-mail, nem todas vontade. Porter o link acima, voc j sabe que hospeda cliente est infectado, e os logs do servidor web deve dizer-lhe mais do que voc precisa saber.
CMS Infeces em Geral
Muitas infeces CMS so devido botnet StealRat, ele deve ser o primeiro a verificar. Esta ligao um Trend Micro PDF descrevendo ainfeco em detalhe abundante. Enquanto o PDF deve ser consultado para informaes completas, a verificao de scripts PHP misteriosas /inexplicveis no wp-content / plugins (se voc estiver executando WordPress) diretrios devem voc comear. Esta ligao tem instrues parauma pesquisa mais voltada para ele.
Finding Stealrat pode ser to simples como executar o seguinte comando em sistemas UNIX-like - para "[diretrios]", substituto na raiz dedocumentos do servidor web, CGI e imagem diretrios:
find [dirs] -print | xargs -d'\n' grep 'die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321'
Se o acima no funcionar, no assuma que voc no est infectado. O Malware pode ter mudado, ou voc no pesquisar os diretrios corretos.Continue procurando.
Nosso roteiro findbot perl foi aprimorado para encontrar Stealrat. No entanto, no podemos garantir que findbot.pl vai encontrar todas as cpiasde malware.
Novo: MELANI um centro de informtica de segurana / anlise suo, eo link tem instrues gerais sobre como limpar CMS (ContentManagement Systems como Drupal ou Wordpress) locais de infeco.
Em praticamente todos os casos, estas infeces so injetados nos servidores vtima por meio de vulnerabilidades no software CMS (porexemplo: Drupal, Wordpress, etc). extremamente importante que todos usando CMS mant-los remendado at data:
Oficiais Wordpress downloads
Oficiais Joomla downloads
Oficiais Drupal downloads
Oficiais Typo3 downloads
Se voc estiver executando o Drupal, certifique-se de que as manchas referidos aqui so aplicadas. Se voc estiver executando Drupal voc deveatualizar para as ltimas verses.
De tarde algumas dessas infeces so facilitiated por um Rootkit SSH chamado "Ebury". Veja o link para mais detalhes.
Na maioria dos casos, este endereo IP seria a de um ambiente de hospedagem compartilhada. Se voc um cliente deste ambiente, voc quasecertamente no ser capaz de fazer qualquer coisa sobre isso, apenas os administradores do ambiente de hospedagem em si pode. Entre emcontato com seus administradores, e encaminh-los a esta pgina.
Se os administradores esto relutantes em fazer qualquer coisa por favor, tente convenc-los, porque no h nada que voc possa fazer paracorrigir esse problema.
Para os administradores de sistema
Sua tarefa encontrar o problema atual, corrigi-lo e impedir que isso acontea novamente.
Encontrando o problema, a atividade de rede: Linux / FreeBSD etc
Uma maneira de encontrar o usurio que est infectado e vomitando spam usar o "lsof" (Abrir a lista de arquivos) utilitrio. "lsof" estdisponvel para a maioria das verses de sistemas UNIX-like, como o Linux como parte da distribuio oficial, mas pode no ser instalado por
-
padro. Ento, em primeiro lugar, certifique-se de t-lo instalado. Em muitos sistemas como o Ubuntu, voc pode instal-lo:
sudo apt-get install lsof
Uma vez lsof instalado, voc pode emitir o seguinte comando
sudo lsof -i | grep smtp
Voc pode ver um nmero de linhas, tais como (example.com toma o lugar do nome de sua mquina):
sendmail- 18520 root 3u IPv4 3016693 0t0 TCP *:smtp (LISTEN)sendmail 4401 mail 13u IPv4 8742322 0t0 TCP example.com:42177->mail1.hotmail.com:smtp (ESTABLISHED)exim 6348 mail 3u IPv4 210565067 0t0 TCP *:smtp (LISTEN)find 4403 foo 13u IPv4 8742322 0t0 TCP example.com:42176->mtain-dk.r1000.mx.aol.com:smtp (ESTABLISHED)
A primeira linha, por exemplo, o seu software de correio sendmail "ouvir" ing (como root UserID) para conexes de entrada de e-mail - isto normal. A segunda linha o sendmail "apanhado" no momento de enviar um e-mail (como ID do usurio "mail") a partir de sua mquina em umservidor hotmail - que tambm perfeitamente normal. Voc pode ver linhas semelhantes com "exim" ou "postfix" ou "smtpd" ou "qmail" emvez de sendmail - tudo dependendo do que servidor de correio de executar - exemplo - a terceira linha um ouvinte Exim. A coisa importanteque indica que normal que o ID do usurio "mail" ou "carteiro" ou algo parecido - NOT um usurio comum.
A quarta linha um programa chamado "encontrar", funcionando sob ID do usurio "foo" fazer uma conexo com um servidor AOL.
exemplos como a quarta linha que voc est procurando - ele diz que o ID de usurio do usurio infectado. Neste caso, tambm indica que ainfeco que aparece como o programa "encontrar". No ser muitas vezes mais do que um destes.
Basta matar esses processos no suficiente, porque muitas vezes eles vo reiniciar por conta prpria. Voc vai precisar para descobrir se estesso iniciados por um trabalho cron propriedade desse usurio, ou, gerou atravs do seu servidor web, ou a partir de um login ssh. Localizar eeliminar o programa - muitas vezes um script PHP ou Perl. Em alguns casos, no entanto, o programa apaga-se assim que se inicia. O exemplo a"encontrar" acima um binrio executvel Linux que contm um script perl criptografado. Uma vez que este foi escrito antes, agora s vezes sedisfara como "mail" ou "ntpd". Suponha que poderia ser qualquer coisa. Voc tambm vai precisar para descobrir como o script foi instaladoem sua mquina - muitas vezes atravs de Joomla, Wordpress, Cpanel ou Plesk falhas de segurana ou o upload do ftp e prend-lo.
AVISO S porque voc no encontrou uma linha como a linha "foo" acima no significa que a mquina no est infectado! Significa apenas quea mquina no est enviando e-mail no instante lsof foi executado. Se voc no v uma linha como a linha "foo", sugerimos que voc execute oslsof comando vrias vezes. Exemplo:
while truedo sudo lsof -i | grep smtp sleep 10done
Encontrar o problema encontrando o script: Linux / FreeBSD
NOVO! H uma nova verso do findbot que deve encontrar CryptoPHP mais rpido e simples - tente a opo -c.H uma srie de scanners que podem ser usados em servidores web para tentar encontrar PHP malicioso e scripts Perl, como rkhunter etc.
Com a ajuda dos outros, temos escrito um script perl chamado simples findbot.pl que procura por tais coisas como r57shell, cryptphp etc. ele irprocurar o seu sistema pode encontrar scripts potencialmente perigosos.
Como muito simplria voc ter que inspecionar cuidadosamente os arquivos que ele encontra para verificar se o que ele encontra maliciosoou no. Estar ciente dos tipos de arquivos - encontrar fragmentos de cdigo executveis dentro ".png" ou arquivos ".jpg" claramente demonstraque o arquivo malicioso.
Para utilizar findbot.pl, voc vai precisar Perl instalado.
Se necessrio instalar perlBaixar findbot.plSiga as instrues no incio do arquivo findbot.pl
Armoring PHP contra infeces
Suhosin pode ser uma ferramenta til para proteger seu ambiente PHP a partir de vrios malware.
Muitas destas infeces iniciar-se em execuo, em seguida, excluir-se do disco. O que significa que voc no ser capaz de encontr-lo.Verifique se o seu ftp e SSH registos para arquivos suspeitos e logins. por isso que to importante para impedir que acontea novamente.
Uma maneira adicional de encontrar esta infeco que funciona para algumas variantes executar o comando "file" (voc pode ter que instal-lo- por exemplo: "sudo apt-get install arquivo") sobre o programa suspeito.
"ELF 32-bit e" tamanho de cabealho da seo corrompido "no exemplo abaixo significa que voc provavelmente encontrou o arquivo certo:
$ File sshd
-
$ File sshdsshd: ELF 32-bit LSB executvel, Intel 80386, verso 1 (FreeBSD), estaticamente
ligado, o tamanho cabealho da seo corrompido
O ensaio acima descrito pode ser usado em grandes quantidades, usando qualquer um dos dois comandos seguintes:
file /path/to/directory/* | grep 'corrupted section'find /path1 /path2 -print | xargs -d'\n' file | grep 'corrupted section'
Se voc encontrar um arquivo, por favor, nos envie cpias.
Encontrando o problema, a atividade de rede: Windows
O ambiente do Windows um pouco menos desenvolvido para encontrar essas coisas do que os sistemas UNIX-like. No entanto, podemosrecomendar a ferramenta TCPView, por isso, ver TCPView / tcpconn em nossa seo avanada.
Encontrar o problema logs: (Mostly) Linux / FreeBSD
A maioria desses scripts so muito bons em esconder sua presena. Alguns deles arranque, e lhes remover a cpia em disco, ento no h nadapara ver. Nenhum deles voluntrio onde eles esto, por isso, as amostras no ajudam. A maioria desses scripts contornar seu software de servidorde email, ento no h nada para ver nos logs de correio ou filas.
No entanto, todos eles precisam fazer para obter em seu sistema de alguma forma, e que muitas vezes deixa logs. Se voc pode encontrar osregistros de log, muitas vezes, que ir ajud-lo a identificar o usurio infectado e encontrar os arquivos maliciosos (se eles ainda esto l).
De um modo geral, estas so as maneiras scripts maliciosos entrar em um sistema:
Web sites costumam fazer FTP ou SSL disponveis para que seus clientes podem fazer upload de contedo ou login para gerenciar suaspginas web. Se o computador do cliente comprometido com um keylogger, isso significa que o criminoso pode fazer upload de qualquer coisaque eles querem. Normalmente voc pode ver essa atividade em seus logs de FTP ou SSL - olhar para uploads de arquivos .php ou .pl, lotes dearquivos de nome estranho, o acesso a partir de uma grande variedade de endereos IP, etc. Se voc encontrar algo parecido com isto, importante para obter o usurio para alterar sua senha, e fazer verificaes de vrus de seus computadores.
Verifique se o seu servidor web de grandes quantidades de solicitaes para o mesmo PHP ou CGI ou arquivo Perl, ou comandos POST, etc ...Isto pode revelar onde a infeco , e muitas vezes como ele chegou l.
A maioria dos CMSes, em particular, Plesk, cPanel, Wordpress e Joomla simplesmente tm falhas de segurana graves sendo encontradosneles, aparentemente diariamente, e hospedado ambientes so muitas vezes relutantes em manter-se atualizado com a sua correo. Voc nuncapode achar uma explicao razovel de como o software mal-intencionado chegou l
Impedindo que isso acontea novamente
Tenha absoluta certeza de que todo o software CMS (Joomla, Cpanel, Wordpress, Plesk etc) mantido at data em todos os momentos. Nodeixe que seus usurios fazer quaisquer desculpas para no faz-lo.
Tornar impossvel para tais infeces (e eles vo voltar a acontecer) de spam do mundo, implementando o bloqueio de e-mail enviadodirectamente a partir da mquina sem passar pelo servidor de correio.
Alguns de seus clientes podem acreditar que eles precisam ser autorizados a fazer isto. A melhor resposta para eles para configurar seusoftware para retransmiti-lo atravs do software de servidor de correio na mquina ou a um hospedeiro inteligente externo.
Para bloquear: Com Cpanel voc pode usar ConfigServer Segurana Firewall (CSF). de graa. CSF tem a opo de configurao"SMTP_BLOCK" - lig-lo.
Cpanel Basic, h tambm "WHM SMTP Tweak" seria tambm deve ajudar.
O que se segue um equivalente para instalaes no-Cpanel - que permite o envio de correio local e bloqueia o envio de correio externo:
iptables -A OUTPUT -d 127.0.0.1 -p tcp -m tcp --dport 25 -j ACCEPTiptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner mail -j ACCEPTiptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner mailman -j ACCEPTiptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --uid-owner root -j ACCEPTiptables -A OUTPUT -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable
Os usurios autorizaes acima para enviar e-mails atravs de um servidor de correio local, permite que o software de servidor de correio local(em execuo na raiz ID do usurio, ou correio gid ou carteiro) para enviar e-mail para a Internet, mas impede que qualquer usurio comumfazendo ligaes SMTP directas para a Internet. Voc pode ter que ajustar isso para Qmail ou Exim. Verifique qual userids so usados. Observeque as configuraes de iptables provavelmente ser perdida na prxima vez que voc reiniciar.
Muitas verses do Linux (Debian, Ubuntu etc) tem um pacote chamado "iptables-persistentes". Voc pode instalar este pacote ("sudo apt-getinstall iptables-persistente") e gerir as entradas do iptables em tempo de inicializao de us-lo.
Se voc estiver usando cPanel e APF, APF por padro vai acabar com regras de iptables voc entra deixando manualmente o servidorvulnervel. Se voc estiver usando APF, voc deve fazer a alterao acima via APF e que vai cuidar de reeditando os comandos aps areinicializao ou reiniciar.
Voc realmente precisa de apoio script PHP? Suporte CGI? Funes de correio PHP? Desligue os que voc no precisa. Algumas pessoas, por
-
Voc realmente precisa de apoio script PHP? Suporte CGI? Funes de correio PHP? Desligue os que voc no precisa. Algumas pessoas, porexemplo, desligar CGIs, e PHP "fsocketopen" ou funes "exec" nos arquivos ini PHP (ou para todo o site, ou ambientes individuais), e
conseguem inibir muitas infeces.Alguns desses scripts so instalados em / tmp. Se / tmp um sistema de arquivos separado, voc pode par-lo sendo usado por scripts
maliciosos, ajustando o arquivo / etc / fstab para montar / tmp com os "noexec" e "bandeiras nosuid". Isto significa que o O / S no serexecutado programas que esto no diretrio / tmp nem trat-las como setuid.
Desligue FTP cliente se voc no precisa dele. Note que alguns pacotes CMS instalar FTP com FTP annimo ativado por padro. Esta sempre uma m idia, por isso certifique-se de "login annimo" est desligado.
necessrio forar alteraes de senha sobre esses usurios cujos sites web foram comprometidos. Se voc no pode dizer exatamente o queos usurios tenham sido comprometidos, fortemente recomendado que voc altere todas as senhas.
Aviso: se voc continuamente delist 187.45.195.33 sem corrigir o problema, a CBL, eventualmente, parar de permitir a sada da 187.45.195.33.
Se voc tiver resolvido o problema mostrado acima e retiradas do IP mesmo, no h necessidade de entrar em contato conosco.
Clique neste link para delist 187.45.195.33.
