Professional Documents
Culture Documents
Poweredby
Traduzidopara:
portugus
Mostrarooriginal
Opes
Tradutor
Endereo de IP:
187.45.195.33
Endereo IP 187.45.195.33 est listado na CBL. Ele mostra sinais de estar infectado com um trojan envio de spam, link malicioso ou alguma outra forma de
botnet.
Foi detectado pela ltima vez em 2015/09/03 06:00 GMT (+/- 30 minutos), aproximadamente 5 dias, 9 horas atrs.
IMPORTANTE
Textooriginal
It was last detected at 20150903 06:00 GMT (+/ 30 minutes),
approximately5days,9hoursago.
Podemos agora dizer que o problema descrito a seguir foi corrigido. Temos mantido uma cpia completa do que informaes de diagnstico
Sugiraumatraduomelhor
abaixo. Se voc no fosse a pessoa que resolveu
o problema, ns recomendamos a leitura da seo abaixo.
O link para remoo IP agora aparece na parte inferior.
Este endereo IP corresponde a um web site que est infectado com um spam ou malware ligao encaminhamento / redirecionamento.
Em outras palavras, o site foi hackeado e est servindo de links de redirecionamento para spam ou malware. Tambm quase certamente o envio
de spam tambm.
Recomendamos que voc reveja as instrues abaixo, de modo a evitar que isso acontea no futuro.
O nome do host infectado "rroyo.com.br", e esta ligao tem um exemplo de redirecionamento malicioso o: "http://rroyo.com.br/wpcontent/plugins/hundredfold.php" Dependendo do tipo de infeco , pode haver dezenas de pginas de redirecionamento mais maliciosos sob
rroyo.com.br.
AVISO Como o link conhecido por mal-intencionado, visitar esse link por sua conta e risco.
Se rroyo.com.br no o seu anfitrio, no h nada que voc pode fazer para corrigir esse problema: em contato com o hoster e t-los corrigi-lo.
Se voc o administrador, procurando seus registros do servidor da web para rroyo.com.br provavelmente vai revelar outras cpias desses links
maliciosos, bem como as ligaes-comando e controle (muitas vezes .php).
Uma empresa de hospedagem informou que o script malicioso foi chamado de "mainik.php" e foi retirado endereos IP russos.
Se o problema no for resolvido, este ser sem dvida obter listados novamente, e corre o risco de ter a CBL no permitir novas remoes.
Portanto, no basta sada da IP e esperar que ela para ficar excludos, a menos que a causa raiz est resolvido.
Em outras palavras, corrigi-lo! Ou correr o risco de auto-remoes sejam recusadas anncios futuros.
Servidores infectados so geralmente compartilhados ambientes de hospedagem web que executam o Cpanel, Plesk, Joomla ou software
Wordpress CMS que tornaram-se comprometido, seja atravs de uma vulnerabilidade (ou seja, o software CMS est desatualizada e precisa de
patching), ou conta de usurios de informao (userids / senhas) tm sido comprometida, e maliciosas de software / arquivos esto sendo
enviados por ftp ou SSL. Existem vrias "famlias" diferentes de malware fazendo isso, inclusive DarkMailer, DirectMailer, Stealrat e outros.
Como conseqncia disso, as instrues abaixo se concentrar em encontrar o problema, no importa o que .
Importante: Basta remover o link malicioso, em geral, no impedir recadastramentos futuras. De fato, vrios dos botnets que fazem isso tem
literalmente dezenas de redirecionamentos maliciosos sob o mesmo hostname (conta webhosting), outros links maliciosos (por exemplo: em
Stealrat o comando e controle .php script), e pode haver mais do que uma conta webhosting infectada na mesma mquina. Enquanto o manual de
limpeza de uma dessas infeces, s vezes funciona, geralmente muito difcil ter certeza de que voc tem tudo. Recomendamos desabilitar a
conta, em seguida, reinstalar a conta de backups.
Se o acima no funcionar, no assuma que voc no est infectado. O Malware pode ter mudado, ou voc no pesquisar os diretrios corretos.
Continue procurando.
Nosso roteiro findbot perl foi aprimorado para encontrar Stealrat. No entanto, no podemos garantir que findbot.pl vai encontrar todas as cpias
de malware.
Novo: MELANI um centro de informtica de segurana / anlise suo, eo link tem instrues gerais sobre como limpar CMS (Content
Management Systems como Drupal ou Wordpress) locais de infeco.
Em praticamente todos os casos, estas infeces so injetados nos servidores vtima por meio de vulnerabilidades no software CMS (por
exemplo: Drupal, Wordpress, etc). extremamente importante que todos usando CMS mant-los remendado at data:
Oficiais Wordpress downloads
Oficiais Joomla downloads
Oficiais Drupal downloads
Oficiais Typo3 downloads
Se voc estiver executando o Drupal, certifique-se de que as manchas referidos aqui so aplicadas. Se voc estiver executando Drupal voc deve
atualizar para as ltimas verses.
De tarde algumas dessas infeces so facilitiated por um Rootkit SSH chamado "Ebury". Veja o link para mais detalhes.
Na maioria dos casos, este endereo IP seria a de um ambiente de hospedagem compartilhada. Se voc um cliente deste ambiente, voc quase
certamente no ser capaz de fazer qualquer coisa sobre isso, apenas os administradores do ambiente de hospedagem em si pode. Entre em
contato com seus administradores, e encaminh-los a esta pgina.
Se os administradores esto relutantes em fazer qualquer coisa por favor, tente convenc-los, porque no h nada que voc possa fazer para
corrigir esse problema.
padro. Ento, em primeiro lugar, certifique-se de t-lo instalado. Em muitos sistemas como o Ubuntu, voc pode instal-lo:
sudo apt-get install lsof
Voc pode ver um nmero de linhas, tais como (example.com toma o lugar do nome de sua mquina):
sendmail- 18520 root 3u IPv4 3016693 0t0 TCP *:smtp (LISTEN)
sendmail 4401 mail 13u IPv4 8742322 0t0 TCP example.com:42177->mail1.hotmail.com:smtp (ESTABLISHED)
exim
6348 mail 3u IPv4 210565067 0t0 TCP *:smtp (LISTEN)
find
4403 foo 13u IPv4 8742322 0t0 TCP example.com:42176->mtain-dk.r1000.mx.aol.com:smtp (ESTABLISHED)
A primeira linha, por exemplo, o seu software de correio sendmail "ouvir" ing (como root UserID) para conexes de entrada de e-mail - isto
normal. A segunda linha o sendmail "apanhado" no momento de enviar um e-mail (como ID do usurio "mail") a partir de sua mquina em um
servidor hotmail - que tambm perfeitamente normal. Voc pode ver linhas semelhantes com "exim" ou "postfix" ou "smtpd" ou "qmail" em
vez de sendmail - tudo dependendo do que servidor de correio de executar - exemplo - a terceira linha um ouvinte Exim. A coisa importante
que indica que normal que o ID do usurio "mail" ou "carteiro" ou algo parecido - NOT um usurio comum.
A quarta linha um programa chamado "encontrar", funcionando sob ID do usurio "foo" fazer uma conexo com um servidor AOL.
exemplos como a quarta linha que voc est procurando - ele diz que o ID de usurio do usurio infectado. Neste caso, tambm indica que a
infeco que aparece como o programa "encontrar". No ser muitas vezes mais do que um destes.
Basta matar esses processos no suficiente, porque muitas vezes eles vo reiniciar por conta prpria. Voc vai precisar para descobrir se estes
so iniciados por um trabalho cron propriedade desse usurio, ou, gerou atravs do seu servidor web, ou a partir de um login ssh. Localizar e
eliminar o programa - muitas vezes um script PHP ou Perl. Em alguns casos, no entanto, o programa apaga-se assim que se inicia. O exemplo a
"encontrar" acima um binrio executvel Linux que contm um script perl criptografado. Uma vez que este foi escrito antes, agora s vezes se
disfara como "mail" ou "ntpd". Suponha que poderia ser qualquer coisa. Voc tambm vai precisar para descobrir como o script foi instalado
em sua mquina - muitas vezes atravs de Joomla, Wordpress, Cpanel ou Plesk falhas de segurana ou o upload do ftp e prend-lo.
AVISO S porque voc no encontrou uma linha como a linha "foo" acima no significa que a mquina no est infectado! Significa apenas que
a mquina no est enviando e-mail no instante lsof foi executado. Se voc no v uma linha como a linha "foo", sugerimos que voc execute os
lsof comando vrias vezes. Exemplo:
while true
do
sudo lsof -i | grep smtp
sleep 10
done
NOVO! H uma nova verso do findbot que deve encontrar CryptoPHP mais rpido e simples - tente a opo -c.
H uma srie de scanners que podem ser usados em servidores web para tentar encontrar PHP malicioso e scripts Perl, como rkhunter etc.
Com a ajuda dos outros, temos escrito um script perl chamado simples findbot.pl que procura por tais coisas como r57shell, cryptphp etc. ele ir
procurar o seu sistema pode encontrar scripts potencialmente perigosos.
Como muito simplria voc ter que inspecionar cuidadosamente os arquivos que ele encontra para verificar se o que ele encontra malicioso
ou no. Estar ciente dos tipos de arquivos - encontrar fragmentos de cdigo executveis dentro ".png" ou arquivos ".jpg" claramente demonstra
que o arquivo malicioso.
Para utilizar findbot.pl, voc vai precisar Perl instalado.
Se necessrio instalar perl
Baixar findbot.pl
Siga as instrues no incio do arquivo findbot.pl
$ File sshd
sshd: ELF 32-bit LSB executvel, Intel 80386, verso 1 (FreeBSD), estaticamente
ligado, o tamanho cabealho da seo corrompido
O ensaio acima descrito pode ser usado em grandes quantidades, usando qualquer um dos dois comandos seguintes:
file /path/to/directory/* | grep 'corrupted section'
find /path1 /path2 -print | xargs -d'\n' file | grep 'corrupted section'
Os usurios autorizaes acima para enviar e-mails atravs de um servidor de correio local, permite que o software de servidor de correio local
(em execuo na raiz ID do usurio, ou correio gid ou carteiro) para enviar e-mail para a Internet, mas impede que qualquer usurio comum
fazendo ligaes SMTP directas para a Internet. Voc pode ter que ajustar isso para Qmail ou Exim. Verifique qual userids so usados. Observe
que as configuraes de iptables provavelmente ser perdida na prxima vez que voc reiniciar.
Muitas verses do Linux (Debian, Ubuntu etc) tem um pacote chamado "iptables-persistentes". Voc pode instalar este pacote ("sudo apt-get
install iptables-persistente") e gerir as entradas do iptables em tempo de inicializao de us-lo.
Se voc estiver usando cPanel e APF, APF por padro vai acabar com regras de iptables voc entra deixando manualmente o servidor
vulnervel. Se voc estiver usando APF, voc deve fazer a alterao acima via APF e que vai cuidar de reeditando os comandos aps a
reinicializao ou reiniciar.
Voc realmente precisa de apoio script PHP? Suporte CGI? Funes de correio PHP? Desligue os que voc no precisa. Algumas pessoas, por
Voc realmente precisa de apoio script PHP? Suporte CGI? Funes de correio PHP? Desligue os que voc no precisa. Algumas pessoas, por
exemplo, desligar CGIs, e PHP "fsocketopen" ou funes "exec" nos arquivos ini PHP (ou para todo o site, ou ambientes individuais), e
conseguem inibir muitas infeces.
Alguns desses scripts so instalados em / tmp. Se / tmp um sistema de arquivos separado, voc pode par-lo sendo usado por scripts
maliciosos, ajustando o arquivo / etc / fstab para montar / tmp com os "noexec" e "bandeiras nosuid". Isto significa que o O / S no ser
executado programas que esto no diretrio / tmp nem trat-las como setuid.
Desligue FTP cliente se voc no precisa dele. Note que alguns pacotes CMS instalar FTP com FTP annimo ativado por padro. Esta
sempre uma m idia, por isso certifique-se de "login annimo" est desligado.
necessrio forar alteraes de senha sobre esses usurios cujos sites web foram comprometidos. Se voc no pode dizer exatamente o que
os usurios tenham sido comprometidos, fortemente recomendado que voc altere todas as senhas.
Aviso: se voc continuamente delist 187.45.195.33 sem corrigir o problema, a CBL, eventualmente, parar de permitir a sada da 187.45.195.33.
Se voc tiver resolvido o problema mostrado acima e retiradas do IP mesmo, no h necessidade de entrar em contato conosco.