You are on page 1of 5

portugus

Poweredby

Traduzidopara:
portugus

Mostrarooriginal

Opes

Tradutor

Estatsticas CBL CBL FAQ


CBL CASA Poltica de Privacidade

CBL Lookup Utility


com grande pesar que temos implementado um captcha nesta pgina. Aps 11 anos, o nmero de consultas / abusivas automatizados tm crescido to alto que
agora necessrio. S permitida a utilizao manual de consulta desta pgina. Todos / as consultas com scripts automatizados so proibidos, e pode resultar em
lista do endereo IP de origem.

Endereo de IP:

187.45.195.33

Type the text


Privacidade e Termos

Endereo IP 187.45.195.33 est listado na CBL. Ele mostra sinais de estar infectado com um trojan envio de spam, link malicioso ou alguma outra forma de
botnet.
Foi detectado pela ltima vez em 2015/09/03 06:00 GMT (+/- 30 minutos), aproximadamente 5 dias, 9 horas atrs.

IMPORTANTE

Textooriginal
It was last detected at 20150903 06:00 GMT (+/ 30 minutes),
approximately5days,9hoursago.

Podemos agora dizer que o problema descrito a seguir foi corrigido. Temos mantido uma cpia completa do que informaes de diagnstico
Sugiraumatraduomelhor
abaixo. Se voc no fosse a pessoa que resolveu
o problema, ns recomendamos a leitura da seo abaixo.
O link para remoo IP agora aparece na parte inferior.
Este endereo IP corresponde a um web site que est infectado com um spam ou malware ligao encaminhamento / redirecionamento.
Em outras palavras, o site foi hackeado e est servindo de links de redirecionamento para spam ou malware. Tambm quase certamente o envio
de spam tambm.
Recomendamos que voc reveja as instrues abaixo, de modo a evitar que isso acontea no futuro.
O nome do host infectado "rroyo.com.br", e esta ligao tem um exemplo de redirecionamento malicioso o: "http://rroyo.com.br/wpcontent/plugins/hundredfold.php" Dependendo do tipo de infeco , pode haver dezenas de pginas de redirecionamento mais maliciosos sob
rroyo.com.br.

AVISO Como o link conhecido por mal-intencionado, visitar esse link por sua conta e risco.
Se rroyo.com.br no o seu anfitrio, no h nada que voc pode fazer para corrigir esse problema: em contato com o hoster e t-los corrigi-lo.
Se voc o administrador, procurando seus registros do servidor da web para rroyo.com.br provavelmente vai revelar outras cpias desses links
maliciosos, bem como as ligaes-comando e controle (muitas vezes .php).
Uma empresa de hospedagem informou que o script malicioso foi chamado de "mainik.php" e foi retirado endereos IP russos.
Se o problema no for resolvido, este ser sem dvida obter listados novamente, e corre o risco de ter a CBL no permitir novas remoes.
Portanto, no basta sada da IP e esperar que ela para ficar excludos, a menos que a causa raiz est resolvido.
Em outras palavras, corrigi-lo! Ou correr o risco de auto-remoes sejam recusadas anncios futuros.
Servidores infectados so geralmente compartilhados ambientes de hospedagem web que executam o Cpanel, Plesk, Joomla ou software
Wordpress CMS que tornaram-se comprometido, seja atravs de uma vulnerabilidade (ou seja, o software CMS est desatualizada e precisa de
patching), ou conta de usurios de informao (userids / senhas) tm sido comprometida, e maliciosas de software / arquivos esto sendo
enviados por ftp ou SSL. Existem vrias "famlias" diferentes de malware fazendo isso, inclusive DarkMailer, DirectMailer, Stealrat e outros.
Como conseqncia disso, as instrues abaixo se concentrar em encontrar o problema, no importa o que .
Importante: Basta remover o link malicioso, em geral, no impedir recadastramentos futuras. De fato, vrios dos botnets que fazem isso tem
literalmente dezenas de redirecionamentos maliciosos sob o mesmo hostname (conta webhosting), outros links maliciosos (por exemplo: em
Stealrat o comando e controle .php script), e pode haver mais do que uma conta webhosting infectada na mesma mquina. Enquanto o manual de
limpeza de uma dessas infeces, s vezes funciona, geralmente muito difcil ter certeza de que voc tem tudo. Recomendamos desabilitar a
conta, em seguida, reinstalar a conta de backups.

conta, em seguida, reinstalar a conta de backups.


Acreditamos que essas infeces especficas so freqentemente feito atravs da alterao do servidor web mecanismos de controle de acesso
(exemplo, ".htaccess" arquivos em servidores web Apache), e fazendo com que o redirecionamento para ocorrer em todos os "404 url no
encontrado" erros. Ns apreciaramos se voc pode nos dar cpias das modificaes que esta infeco tem feito para o seu sistema.
provvel que a alterao foi feita via SSL ou ftp faa o login usando ID do usurio / senha roubada do "dono" do nome do host / domnio. Eles
devem executar ferramentas anti-vrus em seus computadores, e a senha que eles usam para acessar o site deve ser mudado imediatamente.
Se voc no reconhecer o nome de host rroyo.com.br como pertencentes a voc, isso significa que alguma outra conta neste site de hospedagem
compartilhada foi comprometida, e no h nada que voc (ou eu) pode fazer para corrigir a infeco. Apenas o administrador desta mquina ou o
proprietrio do rroyo.com.br pode corrigi-lo.
Abaixo ns inclumos algumas informaes que devem ajud-lo a encontrar e resolver o problema. Mas, novamente, se no for a sua conta de
hospedagem que est infectado, improvvel que voc ser capaz de consert-lo.
Nota especial: este anncio baseado em deteco de uma pgina redirecionador malicioso. Grande parte dos seguintes fala sobre a deteco de
e-mail malicioso sada. Enquanto a maioria dos web hosts infectados pelo redirecionador tambm ser o envio de e-mail, nem todas vontade. Por
ter o link acima, voc j sabe que hospeda cliente est infectado, e os logs do servidor web deve dizer-lhe mais do que voc precisa saber.

CMS Infeces em Geral


Muitas infeces CMS so devido botnet StealRat, ele deve ser o primeiro a verificar. Esta ligao um Trend Micro PDF descrevendo a
infeco em detalhe abundante. Enquanto o PDF deve ser consultado para informaes completas, a verificao de scripts PHP misteriosas /
inexplicveis no wp-content / plugins (se voc estiver executando WordPress) diretrios devem voc comear. Esta ligao tem instrues para
uma pesquisa mais voltada para ele.
Finding Stealrat pode ser to simples como executar o seguinte comando em sistemas UNIX-like - para "[diretrios]", substituto na raiz de
documentos do servidor web, CGI e imagem diretrios:
find [dirs] -print | xargs -d'\n' grep 'die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321'

Se o acima no funcionar, no assuma que voc no est infectado. O Malware pode ter mudado, ou voc no pesquisar os diretrios corretos.
Continue procurando.
Nosso roteiro findbot perl foi aprimorado para encontrar Stealrat. No entanto, no podemos garantir que findbot.pl vai encontrar todas as cpias
de malware.
Novo: MELANI um centro de informtica de segurana / anlise suo, eo link tem instrues gerais sobre como limpar CMS (Content
Management Systems como Drupal ou Wordpress) locais de infeco.
Em praticamente todos os casos, estas infeces so injetados nos servidores vtima por meio de vulnerabilidades no software CMS (por
exemplo: Drupal, Wordpress, etc). extremamente importante que todos usando CMS mant-los remendado at data:
Oficiais Wordpress downloads
Oficiais Joomla downloads
Oficiais Drupal downloads
Oficiais Typo3 downloads
Se voc estiver executando o Drupal, certifique-se de que as manchas referidos aqui so aplicadas. Se voc estiver executando Drupal voc deve
atualizar para as ltimas verses.
De tarde algumas dessas infeces so facilitiated por um Rootkit SSH chamado "Ebury". Veja o link para mais detalhes.
Na maioria dos casos, este endereo IP seria a de um ambiente de hospedagem compartilhada. Se voc um cliente deste ambiente, voc quase
certamente no ser capaz de fazer qualquer coisa sobre isso, apenas os administradores do ambiente de hospedagem em si pode. Entre em
contato com seus administradores, e encaminh-los a esta pgina.
Se os administradores esto relutantes em fazer qualquer coisa por favor, tente convenc-los, porque no h nada que voc possa fazer para
corrigir esse problema.

Para os administradores de sistema


Sua tarefa encontrar o problema atual, corrigi-lo e impedir que isso acontea novamente.

Encontrando o problema, a atividade de rede: Linux / FreeBSD etc


Uma maneira de encontrar o usurio que est infectado e vomitando spam usar o "lsof" (Abrir a lista de arquivos) utilitrio. "lsof" est
disponvel para a maioria das verses de sistemas UNIX-like, como o Linux como parte da distribuio oficial, mas pode no ser instalado por

padro. Ento, em primeiro lugar, certifique-se de t-lo instalado. Em muitos sistemas como o Ubuntu, voc pode instal-lo:
sudo apt-get install lsof

Uma vez lsof instalado, voc pode emitir o seguinte comando


sudo lsof -i | grep smtp

Voc pode ver um nmero de linhas, tais como (example.com toma o lugar do nome de sua mquina):
sendmail- 18520 root 3u IPv4 3016693 0t0 TCP *:smtp (LISTEN)
sendmail 4401 mail 13u IPv4 8742322 0t0 TCP example.com:42177->mail1.hotmail.com:smtp (ESTABLISHED)
exim
6348 mail 3u IPv4 210565067 0t0 TCP *:smtp (LISTEN)
find
4403 foo 13u IPv4 8742322 0t0 TCP example.com:42176->mtain-dk.r1000.mx.aol.com:smtp (ESTABLISHED)

A primeira linha, por exemplo, o seu software de correio sendmail "ouvir" ing (como root UserID) para conexes de entrada de e-mail - isto
normal. A segunda linha o sendmail "apanhado" no momento de enviar um e-mail (como ID do usurio "mail") a partir de sua mquina em um
servidor hotmail - que tambm perfeitamente normal. Voc pode ver linhas semelhantes com "exim" ou "postfix" ou "smtpd" ou "qmail" em
vez de sendmail - tudo dependendo do que servidor de correio de executar - exemplo - a terceira linha um ouvinte Exim. A coisa importante
que indica que normal que o ID do usurio "mail" ou "carteiro" ou algo parecido - NOT um usurio comum.
A quarta linha um programa chamado "encontrar", funcionando sob ID do usurio "foo" fazer uma conexo com um servidor AOL.
exemplos como a quarta linha que voc est procurando - ele diz que o ID de usurio do usurio infectado. Neste caso, tambm indica que a
infeco que aparece como o programa "encontrar". No ser muitas vezes mais do que um destes.
Basta matar esses processos no suficiente, porque muitas vezes eles vo reiniciar por conta prpria. Voc vai precisar para descobrir se estes
so iniciados por um trabalho cron propriedade desse usurio, ou, gerou atravs do seu servidor web, ou a partir de um login ssh. Localizar e
eliminar o programa - muitas vezes um script PHP ou Perl. Em alguns casos, no entanto, o programa apaga-se assim que se inicia. O exemplo a
"encontrar" acima um binrio executvel Linux que contm um script perl criptografado. Uma vez que este foi escrito antes, agora s vezes se
disfara como "mail" ou "ntpd". Suponha que poderia ser qualquer coisa. Voc tambm vai precisar para descobrir como o script foi instalado
em sua mquina - muitas vezes atravs de Joomla, Wordpress, Cpanel ou Plesk falhas de segurana ou o upload do ftp e prend-lo.
AVISO S porque voc no encontrou uma linha como a linha "foo" acima no significa que a mquina no est infectado! Significa apenas que
a mquina no est enviando e-mail no instante lsof foi executado. Se voc no v uma linha como a linha "foo", sugerimos que voc execute os
lsof comando vrias vezes. Exemplo:
while true
do
sudo lsof -i | grep smtp
sleep 10
done

Encontrar o problema encontrando o script: Linux / FreeBSD

NOVO! H uma nova verso do findbot que deve encontrar CryptoPHP mais rpido e simples - tente a opo -c.
H uma srie de scanners que podem ser usados em servidores web para tentar encontrar PHP malicioso e scripts Perl, como rkhunter etc.
Com a ajuda dos outros, temos escrito um script perl chamado simples findbot.pl que procura por tais coisas como r57shell, cryptphp etc. ele ir
procurar o seu sistema pode encontrar scripts potencialmente perigosos.
Como muito simplria voc ter que inspecionar cuidadosamente os arquivos que ele encontra para verificar se o que ele encontra malicioso
ou no. Estar ciente dos tipos de arquivos - encontrar fragmentos de cdigo executveis dentro ".png" ou arquivos ".jpg" claramente demonstra
que o arquivo malicioso.
Para utilizar findbot.pl, voc vai precisar Perl instalado.
Se necessrio instalar perl
Baixar findbot.pl
Siga as instrues no incio do arquivo findbot.pl

Armoring PHP contra infeces


Suhosin pode ser uma ferramenta til para proteger seu ambiente PHP a partir de vrios malware.
Muitas destas infeces iniciar-se em execuo, em seguida, excluir-se do disco. O que significa que voc no ser capaz de encontr-lo.
Verifique se o seu ftp e SSH registos para arquivos suspeitos e logins. por isso que to importante para impedir que acontea novamente.
Uma maneira adicional de encontrar esta infeco que funciona para algumas variantes executar o comando "file" (voc pode ter que instal-lo
- por exemplo: "sudo apt-get install arquivo") sobre o programa suspeito.
"ELF 32-bit e" tamanho de cabealho da seo corrompido "no exemplo abaixo significa que voc provavelmente encontrou o arquivo certo:
$ File sshd

$ File sshd
sshd: ELF 32-bit LSB executvel, Intel 80386, verso 1 (FreeBSD), estaticamente
ligado, o tamanho cabealho da seo corrompido

O ensaio acima descrito pode ser usado em grandes quantidades, usando qualquer um dos dois comandos seguintes:
file /path/to/directory/* | grep 'corrupted section'
find /path1 /path2 -print | xargs -d'\n' file | grep 'corrupted section'

Se voc encontrar um arquivo, por favor, nos envie cpias.

Encontrando o problema, a atividade de rede: Windows


O ambiente do Windows um pouco menos desenvolvido para encontrar essas coisas do que os sistemas UNIX-like. No entanto, podemos
recomendar a ferramenta TCPView, por isso, ver TCPView / tcpconn em nossa seo avanada.

Encontrar o problema logs: (Mostly) Linux / FreeBSD


A maioria desses scripts so muito bons em esconder sua presena. Alguns deles arranque, e lhes remover a cpia em disco, ento no h nada
para ver. Nenhum deles voluntrio onde eles esto, por isso, as amostras no ajudam. A maioria desses scripts contornar seu software de servidor
de email, ento no h nada para ver nos logs de correio ou filas.
No entanto, todos eles precisam fazer para obter em seu sistema de alguma forma, e que muitas vezes deixa logs. Se voc pode encontrar os
registros de log, muitas vezes, que ir ajud-lo a identificar o usurio infectado e encontrar os arquivos maliciosos (se eles ainda esto l).
De um modo geral, estas so as maneiras scripts maliciosos entrar em um sistema:
Web sites costumam fazer FTP ou SSL disponveis para que seus clientes podem fazer upload de contedo ou login para gerenciar suas
pginas web. Se o computador do cliente comprometido com um keylogger, isso significa que o criminoso pode fazer upload de qualquer coisa
que eles querem. Normalmente voc pode ver essa atividade em seus logs de FTP ou SSL - olhar para uploads de arquivos .php ou .pl, lotes de
arquivos de nome estranho, o acesso a partir de uma grande variedade de endereos IP, etc. Se voc encontrar algo parecido com isto,
importante para obter o usurio para alterar sua senha, e fazer verificaes de vrus de seus computadores.
Verifique se o seu servidor web de grandes quantidades de solicitaes para o mesmo PHP ou CGI ou arquivo Perl, ou comandos POST, etc ...
Isto pode revelar onde a infeco , e muitas vezes como ele chegou l.
A maioria dos CMSes, em particular, Plesk, cPanel, Wordpress e Joomla simplesmente tm falhas de segurana graves sendo encontrados
neles, aparentemente diariamente, e hospedado ambientes so muitas vezes relutantes em manter-se atualizado com a sua correo. Voc nunca
pode achar uma explicao razovel de como o software mal-intencionado chegou l

Impedindo que isso acontea novamente


Tenha absoluta certeza de que todo o software CMS (Joomla, Cpanel, Wordpress, Plesk etc) mantido at data em todos os momentos. No
deixe que seus usurios fazer quaisquer desculpas para no faz-lo.
Tornar impossvel para tais infeces (e eles vo voltar a acontecer) de spam do mundo, implementando o bloqueio de e-mail enviado
directamente a partir da mquina sem passar pelo servidor de correio.
Alguns de seus clientes podem acreditar que eles precisam ser autorizados a fazer isto. A melhor resposta para eles para configurar seu
software para retransmiti-lo atravs do software de servidor de correio na mquina ou a um hospedeiro inteligente externo.
Para bloquear: Com Cpanel voc pode usar ConfigServer Segurana Firewall (CSF). de graa. CSF tem a opo de configurao
"SMTP_BLOCK" - lig-lo.
Cpanel Basic, h tambm "WHM SMTP Tweak" seria tambm deve ajudar.
O que se segue um equivalente para instalaes no-Cpanel - que permite o envio de correio local e bloqueia o envio de correio externo:
iptables -A OUTPUT -d 127.0.0.1 -p tcp -m tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner mail -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner mailman -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --uid-owner root -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable

Os usurios autorizaes acima para enviar e-mails atravs de um servidor de correio local, permite que o software de servidor de correio local
(em execuo na raiz ID do usurio, ou correio gid ou carteiro) para enviar e-mail para a Internet, mas impede que qualquer usurio comum
fazendo ligaes SMTP directas para a Internet. Voc pode ter que ajustar isso para Qmail ou Exim. Verifique qual userids so usados. Observe
que as configuraes de iptables provavelmente ser perdida na prxima vez que voc reiniciar.
Muitas verses do Linux (Debian, Ubuntu etc) tem um pacote chamado "iptables-persistentes". Voc pode instalar este pacote ("sudo apt-get
install iptables-persistente") e gerir as entradas do iptables em tempo de inicializao de us-lo.
Se voc estiver usando cPanel e APF, APF por padro vai acabar com regras de iptables voc entra deixando manualmente o servidor
vulnervel. Se voc estiver usando APF, voc deve fazer a alterao acima via APF e que vai cuidar de reeditando os comandos aps a
reinicializao ou reiniciar.
Voc realmente precisa de apoio script PHP? Suporte CGI? Funes de correio PHP? Desligue os que voc no precisa. Algumas pessoas, por

Voc realmente precisa de apoio script PHP? Suporte CGI? Funes de correio PHP? Desligue os que voc no precisa. Algumas pessoas, por
exemplo, desligar CGIs, e PHP "fsocketopen" ou funes "exec" nos arquivos ini PHP (ou para todo o site, ou ambientes individuais), e
conseguem inibir muitas infeces.
Alguns desses scripts so instalados em / tmp. Se / tmp um sistema de arquivos separado, voc pode par-lo sendo usado por scripts
maliciosos, ajustando o arquivo / etc / fstab para montar / tmp com os "noexec" e "bandeiras nosuid". Isto significa que o O / S no ser
executado programas que esto no diretrio / tmp nem trat-las como setuid.
Desligue FTP cliente se voc no precisa dele. Note que alguns pacotes CMS instalar FTP com FTP annimo ativado por padro. Esta
sempre uma m idia, por isso certifique-se de "login annimo" est desligado.
necessrio forar alteraes de senha sobre esses usurios cujos sites web foram comprometidos. Se voc no pode dizer exatamente o que
os usurios tenham sido comprometidos, fortemente recomendado que voc altere todas as senhas.
Aviso: se voc continuamente delist 187.45.195.33 sem corrigir o problema, a CBL, eventualmente, parar de permitir a sada da 187.45.195.33.
Se voc tiver resolvido o problema mostrado acima e retiradas do IP mesmo, no h necessidade de entrar em contato conosco.

Clique neste link para delist 187.45.195.33.


<< Voltar pgina inicial CBL