[LACNIC/Seguridad] Sobre Botnet

Madeleine García madelen.garcia16 en gmail.com
Mar Ago 30 11:57:57 BRT 2016


Gracias por responder, estoy revisando el sitio, a ver que tanto me 
ayuda en lo que quiero...

A ver, explico un poquito... el CSIRT de mi país (Cuba) lleva varias 
semanas reportando que el servidor DNS de mi empresa tiene tráfico 
asociado a la botnet Zeus. Al revisar los logs del DNS no pudimos 
obtener ningún dato, pues los logs de esos días se sobreescribieron, 
pero en el firewallPFSense se observan trazas de conexiones entre 
nuestro servidor DNS y la IPcomprometida con la botnet Zeus, aunque son 
solamente paquetes UDP, de consultas DNS, desde nuestro servidor a la IP 
en cuestión. El tráfico que se observa en los logs es muy pequeño, tanto 
así que no aparece en la herramienta de análisis de tráfico Netflow 
Analyzer... Ya se analizó el servidor DNS (es un FreeBSD) y no está 
comprometido, y además se aumentó la cantidad de ficheros logs del DNS y 
el tamaño de los mismos, con el fin de conocer que IP le pregunta a 
nuestro DNS por la IP comprometida con la botnet Zeus...
Pero adicionalmente a eso, quisiéramos estar suscritos a alguna lista 
(si es que existe) que nos mantenga al día con las IPs de la botnet 
Zeus, para que estos reportes del CSIRT no nos tomen por sorpresa...

Nuevamente les agradezco la ayuda..
Saludosss,
Madeleine



------ Mensaje original ------
De: "Alonso Caballero Quezada / ReYDeS" <reydes en gmail.com>
Para: "Madeleine García" <madelen.garcia16 en gmail.com>; "Lista para 
discusion de seguridad en redes y sistemas informaticos de la region" 
<seguridad en lacnic.net>
Enviado: 29/08/2016 09:38:34 p.m.
Asunto: Re: [LACNIC/Seguridad] Sobre Botnet

>Saludos:
>
>>Necesito de su ayuda, conocen de alguna lista de distribución que te 
>>envíe información sobre IPs comprometidas en una red botnet??
>>Muchas graciasssss
>Saludos:
>
>Este sitio web contiene listas de bloqueo con direcciones IP y URLs 
>sospechosas de ser maliciosas.
>
>https://zeltser.com/malicious-ip-blocklists/
>
>Atte.
>
>--
>Alonso Eduardo Caballero Quezada - www.ReYDeS.com - ReYDeS en gmail.com
>EXIN Ethical Hacking Foundation (EHF) - LPI Linux Essentials (PDC)
>BrainBench Network Security, Computer Forensics & Linux Administration
>http://pe.linkedin.com/in/alonsocaballeroquezada - 
>twitter.com/Alonso_ReYDeS
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20160830/00fc3a67/attachment.html>


Más información sobre la lista de distribución Seguridad