[GTER] Botnets

Kurt Kraut listas at kurtkraut.net
Fri Dec 21 12:06:53 -02 2012


Olá,



Eu como sou paranóico com isso, nos tempos de BRASnet.org tinha um de
nossos colaboradores que pacientemente pegava log por log, IP por IP e
mandava e-mail abuse por abuse.

Hoje onde trabalho adotei uma outra tática. Cadastrei nosso ASN no
DroneBL.org, uma blacklist de um pessoal muito temperamental mas que
trabalha direito. E todo ataque que recebo eu cadastro a ocorrência nessa
blacklist com dois intuitos:

*1)* Informar outros sysadmins que esse IP é "ficha suja" e ficarem atentos
ou já tomarem medidas preventivas (ex.: por um CAPTCHA para um IP
blacklisted quando for acessar seu serviço).
*2)* É a forma mais fácil para que o abuse team responsável pelo IP fique
sabendo da ocorrência.

O que gostei do DroneBL.org é que você ao cadastrar seu ASN, caso um IP seu
seja blacklisted, você será alertado e pode agir imediatamente. Mesmo para
quem não é cadastrado nos sistema, os abuse teams sérios ficam
periodicamente checando a ocorrência de IPs deles em blacklists
(principalmente com a preocupação de servidores de e-mail recusarem
mensagens). Então acabam vendo as adesões que fiz no DroneBL. A inclusão de
IPs nesta lista é feita por shell script chamando a API deles.

Uma evidência que tenho que a iniciativa tem dado certo são os removal
requests que eu recebo (e sim, quem adiciona o IP nesta blacklist é quem
recebe o pedido de remoção). Quase sempre são servidores de fora do país
mas o IP do solicitante de remoção é quase sempre brasileiro. Isso me faz
presumir que são botnets operadas por brasileiros e que vitimaram máquinas
administradas por brasileiros.

Abraços,


Kurt Kraut


Em 20 de dezembro de 2012 20:37, Lend <lend.sp at gmail.com> escreveu:

> pelo menos no meu caso sempre que vem um ataque lançando um numero de
> conexoes maior que 5000 são de ISP chineses, russos, etc...
>
> então só faço o bloqueio mesmo que já rola automatico.
>
> se eu pegasse um bloco de empresa brasileira, entraria sim no site e
> tentaria contato com a area responsavel por telefone.
>
>
> Em 20 de dezembro de 2012 17:39, Leandro Toledo <
> leandrotoledo at member.fsf.org> escreveu:
>
> > ma de contato com os responsáveis
> > pelos hosts? Pelo Abuse? Acham que devo postar a relação aqui?
> >
> > Obrigado,
> >
>
>
>
> --
>
>
>
>
> Leandro Souza
> (11)6716-2967 - OI
> (11)7188-1172 - VIVO
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list