Вычислить зараженный компьютер в сети, который рассылает вирус
У меня стоит Kerio Mail Server 6.7.3
C недавнего времени мой внешний IP занесли три раза в BlackList CBL http://www.abuseat.org/
Причина занесения вирус Ranybus. Как вычислить на каком ПК сидит зараза или откуда извне проникает злоумышленник.
Вот письмо о внесении в блэк лист. Во вложении лог с произвольного компьютера в сети (моего) P Address 85.234.125.14 is listed in the CBL. It shows signs of being infected with a spam sending trojan, malicious link or some other form of botnet. It was last detected at 2016-12-13 11:00 GMT (+/- 30 minutes), approximately 1 days, 14 hours, 30 minutes ago. It has been relisted following a previous removal at 2016-12-12 06:43 GMT (2 days, 19 hours, 15 minutes ago) Perhaps the person who previously removed it didn't actually fix the problem. This IP is infected with, or is NATting for a machine infected with s_ranbyus
Note: If you wish to look up this bot name via the web, remove the "s_" before you do your search.
This was detected by observing this IP attempting to make contact to a s_ranbyus Command and Control server, with contents unique to s_ranbyus C&C command protocols.
This detection corresponds to a connection at 2016-12-13 11:19:26 (GMT - this timestamp is believed accurate to within one second).
These infections are rated as a "severe threat" by Microsoft. It is a trojan downloader, and can download and execute ANY software on the infected computer.
You will need to find and eradicate the infection before delisting the IP address.
Последний раз редактировалось [email protected]; 15.12.2016 в 05:12.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
13го числа в 6 часов утра (по гринвичу) и 14 по местному была активность SMTP сервера (почти под тысячу соединений). Но в логах я почему-то ничего не вижу.
Видимо потому, что именно изнутри было отправлено всего пару десятков песем
Компьютеров порядка сорока...
Если на каждом запускать cureit это будет атас.
Ужесточил все правила в почтовике которые нашел. По логам в день отправляется не более 50ти писем. т.е. массовой рассылки я в логах не вижу
- - - - -Добавлено - - - - -
Закрыл максимум портов на файрволе, но 25 не могу - он нужен.
В итоге задача сводится к поиску троян Ranbyus - он шлет банковские данные из ibank2
Есть у меня большое подозрение, что abuseat.org либо что-то путает, либо на понт берёт. Но в любом случае способа убедиться в том, что угрозы нет, ровно два.
1-й - проверять все 40 компьютеров. Кстати, можно управиться за выходной - CureIt на сетевом диске, пройтись по компьютерам и запустить проверку.
2-й - анализировать сетевой трафик, установить какой-либо продвинутый файрвол... Но нужно знать, что именно и как ловить, у ranbyus много разновидностей..
WBR,
Vadim
Уважаемый(ая) [email protected], наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Сообщение от Vvvyg
