-
Junior Member
- Вес репутации
- 41
Попадение IP адреса в Balacklists из за pushdo DDOS HTTP attack traffic, как вычислить?
Добрый день.
Уже третий день IP корпорации попадает в черные списки spamhaus.org и cbl.abuseat.org. На этом адрессе висит электронная почта, так же сотрудники компании через него выходят в интренет по средствам NAT, так же на нем WEB сайт компании. В офисе порядка 100 пользовательских комптютеров, а так же около 40 виртуальных серверов. Может кто сталкивался с этой заразой, подскажите, каким образом его можно выловить? Установил на роутер сетевой сниффер, но что либо разобрать в таком огромном потоке запросов очень трудно, да и не знаю я по какому признаку его вылавливать. Везде стоит антивирус от ESET
Вот сообщение со спамхауса.
IP Address *.*.*.* is listed in the CBL. It appears to be infected with a spam sending trojan, proxy or some other form of botnet.
It was last detected at 2013-03-13 07:00 GMT (+/- 30 minutes), approximately 4 hours ago.
It has been relisted following a previous removal at 2013-03-12 16:45 GMT (18 hours, 18 minutes ago)
This IP address is infected with, or is NATting for a machine infected with Pushdo. Pushdo is a DDOS trojan - meaning that it was (at least of the timestamp given above) participating in a HTTP-based distributed denial of service attack on web server[s].
Pushdo is usually associated with the Cutwail spam trojan, as part of a Zeus or Spyeye botnet. Together, this provides the attacker with DDOS, email spam, and information theft capabilities. This is something you really want to get rid of.
This detection is being made by determining the origin of pushdo DDOS HTTP attack traffic.
This The Register article describes Pushdo in somewhat more detail.
WARNING: If you continually delist *.*.*.* without fixing the problem, the CBL will eventually stop allowing the delisting of *.*.*.*.
If you have resolved the problem shown above and delisted the IP yourself, there is no need to contact us.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 40
Такая же проблема и у меня. Кто-то еще сталкивался?
Автор - как обстоят дела сейчас?
-
Junior Member
- Вес репутации
- 41
Сообщение от
floder
Такая же проблема и у меня. Кто-то еще сталкивался?
Автор - как обстоят дела сейчас?
Сейчас все в порядке.
Поборол следующим образом, провел ревизию антивирусов в офисе и исправил там где не обновлялись, а было несколько компов на которых вообще не было, доустановил. Запустил на всех компах глубокое сканирование. Так же покопал интернет и выяснил, что такой пакостью может заниматься троян Zbot, он является частью какого то бот-нета, нашол на сайте касперского утилиту которая выявляет и убивает его ZbotKiller http://media.kaspersky.com/utilities...zbotkiller.zip
Создал групповую политику в АД на запуск этой утилиты при логоне на всех пользователей компании, после этого попадать спам листы перестал.
-
Junior Member
- Вес репутации
- 40
Сообщение от
voffka.k
Сейчас все в порядке.
Так же покопал интернет и выяснил, что такой пакостью может заниматься троян Zbot, он является частью какого то бот-нета, нашол на сайте касперского утилиту которая выявляет и убивает его ZbotKiller
http://media.kaspersky.com/utilities...zbotkiller.zip
Создал групповую политику в АД на запуск этой утилиты при логоне на всех пользователей компании, после этого попадать спам листы перестал.
Спасибо, буду пробовать.