<HTML><HEAD>
<STYLE id=eMClientCss>BLOCKQUOTE.cite {
PADDING-LEFT: 10px; MARGIN-LEFT: 5px; BORDER-LEFT: #cccccc 1px solid; PADDING-RIGHT: 0px; MARGIN-RIGHT: 0px
}
BLOCKQUOTE.cite2 {
PADDING-TOP: 0px; PADDING-LEFT: 10px; MARGIN-LEFT: 5px; BORDER-LEFT: #cccccc 1px solid; MARGIN-TOP: 3px; PADDING-RIGHT: 0px; MARGIN-RIGHT: 0px
}
.plain PRE {
FONT-SIZE: 100%; FONT-FAMILY: monospace; FONT-WEIGHT: normal; FONT-STYLE: normal
}
.plain TT {
FONT-SIZE: 100%; FONT-FAMILY: monospace; FONT-WEIGHT: normal; FONT-STYLE: normal
}
A IMG {
BORDER-TOP: 0px; BORDER-RIGHT: 0px; BORDER-BOTTOM: 0px; BORDER-LEFT: 0px
}
.plain PRE {
FONT-SIZE: 12pt; FONT-FAMILY: Tahoma
}
.plain TT {
FONT-SIZE: 12pt; FONT-FAMILY: Tahoma
}
BODY {
FONT-SIZE: 12pt; FONT-FAMILY: Tahoma
}
#xd89ce54b16b44ab79d51c49fe6dfe5ad P.MsoNormal {
FONT-SIZE: 11pt; FONT-FAMILY: "Calibri",sans-serif; MARGIN: 0cm 0cm 8pt; LINE-HEIGHT: 107%; mso-fareast-font-family: Calibri; mso-fareast-theme-font: minor-latin; mso-style-unhide: no; mso-style-qformat: yes; mso-style-parent: ""; mso-pagination: widow-orphan; mso-ascii-font-family: Calibri; mso-ascii-theme-font: minor-latin; mso-hansi-font-family: Calibri; mso-hansi-theme-font: minor-latin; mso-bidi-font-family: "Times New Roman"; mso-bidi-theme-font: minor-bidi
}
DIV.MsoNormal {
FONT-SIZE: 11pt; FONT-FAMILY: "Calibri",sans-serif; MARGIN: 0cm 0cm 8pt; LINE-HEIGHT: 107%; mso-fareast-font-family: Calibri; mso-fareast-theme-font: minor-latin; mso-style-unhide: no; mso-style-qformat: yes; mso-style-parent: ""; mso-pagination: widow-orphan; mso-ascii-font-family: Calibri; mso-ascii-theme-font: minor-latin; mso-hansi-font-family: Calibri; mso-hansi-theme-font: minor-latin; mso-bidi-font-family: "Times New Roman"; mso-bidi-theme-font: minor-bidi
}
LI.MsoNormal {
FONT-SIZE: 11pt; FONT-FAMILY: "Calibri",sans-serif; MARGIN: 0cm 0cm 8pt; LINE-HEIGHT: 107%; mso-fareast-font-family: Calibri; mso-fareast-theme-font: minor-latin; mso-style-unhide: no; mso-style-qformat: yes; mso-style-parent: ""; mso-pagination: widow-orphan; mso-ascii-font-family: Calibri; mso-ascii-theme-font: minor-latin; mso-hansi-font-family: Calibri; mso-hansi-theme-font: minor-latin; mso-bidi-font-family: "Times New Roman"; mso-bidi-theme-font: minor-bidi
}
#xd89ce54b16b44ab79d51c49fe6dfe5ad .MsoChpDefault {
FONT-FAMILY: "Calibri",sans-serif; mso-fareast-font-family: Calibri; mso-fareast-theme-font: minor-latin; mso-ascii-font-family: Calibri; mso-ascii-theme-font: minor-latin; mso-hansi-font-family: Calibri; mso-hansi-theme-font: minor-latin; mso-bidi-font-family: "Times New Roman"; mso-bidi-theme-font: minor-bidi; mso-style-type: export-only; mso-default-props: yes
}
#xd89ce54b16b44ab79d51c49fe6dfe5ad .MsoPapDefault {
MARGIN-BOTTOM: 8pt; LINE-HEIGHT: 107%; mso-style-type: export-only
}
#xd89ce54b16b44ab79d51c49fe6dfe5ad DIV.WordSection1 {
page: WordSection1
}
</STYLE>
<STYLE></STYLE>
</HEAD>
<BODY scroll=auto class>
<DIV><FONT face=Arial>Gracias por responder, estoy revisando el sitio, a ver que tanto me ayuda en lo que quiero...</FONT></DIV>
<DIV><FONT face=Arial></FONT> </DIV>
<DIV><FONT face=Arial>A ver, explico un poquito... el CSIRT de mi país (Cuba) lleva varias semanas reportando que el servidor DNS de mi empresa tiene tráfico asociado a la botnet Zeus. Al revisar los logs del DNS no pudimos obtener ningún dato, pues los logs de esos días se sobreescribieron, <FONT size=4><FONT size=3>pero en el <SPAN id=xd89ce54b16b44ab79d51c49fe6dfe5ad style="tab-interval: 36.0pt"><SPAN lang=ES-TRAD style='FONT-SIZE: 11pt; FONT-FAMILY: "Arial",sans-serif; LINE-HEIGHT: 107%; mso-fareast-font-family: Calibri; mso-fareast-theme-font: minor-latin; mso-ansi-language: ES-TRAD; mso-fareast-language: EN-US; mso-bidi-language: AR-SA'><FONT size=3>firewall</FONT> <FONT size=3>PFSense se observan trazas de conexiones entre nuestro servidor DNS y la IP</FONT> <FONT size=3>comprometida con la botnet Zeus, aunque son solamente paquetes UDP, de consultas DNS, desde nuestro servidor a la IP en cuestión. El tráfico que se observa en los logs es muy pequeño, tanto así que no aparece en la herramienta de análisis de tráfico Netflow Analyzer... Ya se analizó el servidor DNS (es un FreeBSD) y no está comprometido, y además se aumentó la cantidad de ficheros logs del DNS y el tamaño de los mismos, con el fin de conocer que IP le pregunta a nuestro DNS por la IP <SPAN id=xa42aa0409d124e6f8b52a2307438a6a2><FONT face=Arial><FONT size=4><FONT size=3><FONT size=3>comprometida con la botnet Zeus</FONT></FONT></FONT></FONT></SPAN>... </FONT></SPAN></SPAN></FONT></FONT></FONT></DIV>
<DIV><FONT face=Arial><FONT size=4><FONT size=3><SPAN style="tab-interval: 36.0pt"><SPAN lang=ES-TRAD style='FONT-SIZE: 11pt; FONT-FAMILY: "Arial",sans-serif; LINE-HEIGHT: 107%; mso-fareast-font-family: Calibri; mso-fareast-theme-font: minor-latin; mso-ansi-language: ES-TRAD; mso-fareast-language: EN-US; mso-bidi-language: AR-SA'><FONT size=3>Pero adicionalmente a eso, quisiéramos estar suscritos a alguna lista (si es que existe) que nos mantenga al día con las IPs de la botnet Zeus, para que estos reportes del CSIRT no nos tomen por sorpresa...</FONT></SPAN></SPAN></FONT></FONT></FONT></DIV>
<DIV><FONT face=Arial><FONT size=4><FONT size=3><SPAN style="tab-interval: 36.0pt"><SPAN lang=ES-TRAD style='FONT-SIZE: 11pt; FONT-FAMILY: "Arial",sans-serif; LINE-HEIGHT: 107%; mso-fareast-font-family: Calibri; mso-fareast-theme-font: minor-latin; mso-ansi-language: ES-TRAD; mso-fareast-language: EN-US; mso-bidi-language: AR-SA'></SPAN></SPAN></FONT></FONT></FONT> </DIV>
<DIV><FONT face=Arial><FONT size=4><FONT size=3><SPAN style="tab-interval: 36.0pt"><SPAN lang=ES-TRAD style='FONT-SIZE: 11pt; FONT-FAMILY: "Arial",sans-serif; LINE-HEIGHT: 107%; mso-fareast-font-family: Calibri; mso-fareast-theme-font: minor-latin; mso-ansi-language: ES-TRAD; mso-fareast-language: EN-US; mso-bidi-language: AR-SA'>Nuevamente les agradezco la ayuda..</SPAN></SPAN></FONT></FONT></FONT></DIV>
<DIV><FONT face=Arial><FONT size=4><FONT size=3><SPAN style="tab-interval: 36.0pt"><SPAN lang=ES-TRAD style='FONT-SIZE: 11pt; FONT-FAMILY: "Arial",sans-serif; LINE-HEIGHT: 107%; mso-fareast-font-family: Calibri; mso-fareast-theme-font: minor-latin; mso-ansi-language: ES-TRAD; mso-fareast-language: EN-US; mso-bidi-language: AR-SA'>Saludosss,</SPAN></SPAN></FONT></FONT></FONT></DIV>
<DIV><FONT face=Arial><FONT size=4><FONT size=3><SPAN style="tab-interval: 36.0pt"><SPAN lang=ES-TRAD style='FONT-SIZE: 11pt; FONT-FAMILY: "Arial",sans-serif; LINE-HEIGHT: 107%; mso-fareast-font-family: Calibri; mso-fareast-theme-font: minor-latin; mso-ansi-language: ES-TRAD; mso-fareast-language: EN-US; mso-bidi-language: AR-SA'>Madeleine</SPAN></SPAN></FONT></FONT></FONT></DIV>
<DIV><FONT size=4><FONT size=3><SPAN style="tab-interval: 36.0pt"><SPAN lang=ES-TRAD style='FONT-SIZE: 11pt; FONT-FAMILY: "Arial",sans-serif; LINE-HEIGHT: 107%; mso-fareast-font-family: Calibri; mso-fareast-theme-font: minor-latin; mso-ansi-language: ES-TRAD; mso-fareast-language: EN-US; mso-bidi-language: AR-SA'><FONT size=3 face=Arial></FONT></SPAN></SPAN></FONT></FONT> </DIV>
<DIV> </DIV>
<DIV> </DIV>
<DIV>------ Mensaje original ------</DIV>
<DIV>De: "Alonso Caballero Quezada / ReYDeS" <<A href="mailto:reydes@gmail.com">reydes@gmail.com</A>></DIV>
<DIV>Para: "Madeleine García" <<A href="mailto:madelen.garcia16@gmail.com">madelen.garcia16@gmail.com</A>>; "Lista para discusion de seguridad en redes y sistemas informaticos de la region" <<A href="mailto:seguridad@lacnic.net">seguridad@lacnic.net</A>></DIV>
<DIV>Enviado: 29/08/2016 09:38:34 p.m.</DIV>
<DIV>Asunto: Re: [LACNIC/Seguridad] Sobre Botnet</DIV>
<DIV> </DIV>
<DIV id=x6c77c5d02cb7419997f066333e50c07e>
<BLOCKQUOTE class=cite2 cite=CAPLbpijWqJcOBz-kb0_=PW+V35WqPNRrzygfPHaLu2se3qSwrw@mail.gmail.com type="cite">
<DIV dir=ltr>Saludos:<BR><BR>
<DIV class=gmail_extra>
<DIV class=gmail_quote>
<BLOCKQUOTE class=gmail_quote style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: rgb(204,204,204) 1px solid">
<DIV>
<DIV>Necesito de su ayuda, conocen de alguna lista de distribución que te envíe información sobre IPs comprometidas en una red botnet??</DIV>
<DIV>Muchas graciasssss</DIV></DIV></BLOCKQUOTE>Saludos:<BR><BR>Este sitio web contiene listas de bloqueo con direcciones IP y URLs sospechosas de ser maliciosas.<BR><BR><A href="https://zeltser.com/malicious-ip-blocklists/">https://zeltser.com/malicious-ip-blocklists/</A><BR><BR>Atte.
<DIV> <BR></DIV></DIV>-- <BR>
<DIV class=gmail_signature>
<DIV dir=ltr>
<DIV>
<DIV dir=ltr>
<DIV>
<DIV dir=ltr>
<DIV>
<DIV dir=ltr>Alonso Eduardo Caballero Quezada - <A href="http://www.reydes.com/">www.ReYDeS.com</A> - <A href="mailto:ReYDeS@gmail.com">ReYDeS@gmail.com</A><BR>EXIN Ethical Hacking Foundation (EHF) - LPI Linux Essentials (PDC)<BR>BrainBench Network Security, Computer Forensics & Linux Administration<BR><A href="http://pe.linkedin.com/in/alonsocaballeroquezada">http://pe.linkedin.com/in/alonsocaballeroquezada</A> - <A href="http://twitter.com/Alonso_ReYDeS">twitter.com/Alonso_ReYDeS</A><BR><A href="mailto:ReYDeS@gmail.com"></A></DIV></DIV></DIV></DIV></DIV></DIV></DIV></DIV></DIV></DIV></BLOCKQUOTE></DIV></BODY></HTML>