Blacklisting komt terug

Op wat voor een soort black-list hebben we het dan? Verspreiding van Spam, malware, etc. ?

Waarom is je IP geblacklist? Geven ze aan wel virus/malware type er gebruikt wordt?

Heb je meerdere IP adressen? Zoja... in hoeverre kan jij je netwerk verkeer splitsen als je naar buiten gaat?

Er zal waarschijnlijk wel iets van malware draaien in je netwerk.

Het blocken van de IP-adressen zou ik dan ook niet doen, dan zit je over een tijdje met hetzelfde probleem alleen dan andere IP's.

Gooi 's nachts (als er niet wordt gewerkt) poort 25 dicht op de firewall en laat je een log mailen met daarin de ip-adressen van de systemen die die poort willen gebruiken. Tada, je hebt je boosdoeners gevonden.

Edit: Ah, anderen hebben beter gelezen dan ik. Ik dacht dat het enkel met spam te maken had, maar in een latere post wordt Torpig inderdaad genoemd.

[ Voor 28% gewijzigd door Arie- op 27-05-2013 15:57 ]

Volgens dit draadje gebruikt Torpig poort 80 en 443. Maar word er ook bijgezegd dat andere poorten ook gebruikt kunnen worden.
Zoals hierboven al geadvisserd werd, zet deze poorten 's nachts uit om de geinfecteerde machine eruit te vissen.

Hier nog wat extra info m.b.t. Torpig en de removal.

Dit virus blokkeert ook je pop-ups / waarschuwingen van je Anti-virus programma.
Naar ding dit.

Als je meerdere IP adressen hebt splits dan je internet verkeer (poort 80 en 443) voor de rest van je netwerk naar een ander IP adres.

Mocht het probleem terug komen zit het in je exchange server. Zoniet in je netwerk maar dan blijft je mail wel werken.

pitchdown schreef op maandag 27 mei 2013 @ 21:21:
[...]
Port 80/443 worden gebruikt voor de trojan.
Wat is nu handig om te blocken op de firewall 80/443 of Port 25?

Hoe ga ik met deze handeling de geïnfecteerde machines eruit halen?

Torpig (a.k.a. Sinowal) is een hele nare trojan. Deze plant zichzelf ook in je MBR waardoor na een format van je harde schijf het trojan ook weer terug kan komen. Maar weinig AV pakketten kunnen tegen deze trojan op. Tropig probeert daarnaast ook andere machines in het netwerk te infecteren. Ik hoop dat je op alle machines (workstation en server) een AV oplossing hebt.

Poort 25 is mail en de trojan communiceert daar niet over. (Althans niet normaal voor zover ik weet.) Je kan de suggestie volgen die hierboven staat maar dan 's nachts poort 80 en 443 dichtgooien en kijken welke machines nog iets wilden doen hiermee. Ik vrees echter dat je dan nog met een substantiële lijst eindigd gezien dat dit de default internet poorten zijn.

Welk AV pakket heb je draaien? Controleer of je AV boer een oplossing heeft voor Torpig/Sinowal. Dan kan je eventueel je AV oplossing overal laten scannen en hopelijk het probleem oplossen. Je kan eventueel ook nog kijken naar iets als TDSS killer van Kaspersky of Hitman Pro. Beiden kunnen Torpig/Sinowal verwijderen. Je zal dan alleen helaas handmatig elke machine af moeten lopen. TDSS killer is gratis, Hitman Pro is eenmalig te gebruiken als je wilt desinfecteren. Voordeel is wel dat beiden ook werken op Windows Server. Dus je kan eventueel ook je servers nalopen ermee.

Workstations kan je eventueel opnieuw installeren gewoon, maar je moet dan wel weten dat je de schijf goed formatteerd dat ook de MBR weg is.

Je word geblacklist niet omdat je spam verstuurd maar omdat er vanaf jouw externe IP een connectie maakt met IP adressen welke eerst voor Torpig control servers gebruikt werden. Er zijn 2 manieren om dit goed op te lossen.

1: Log op je router/firewall om te zien welke interne machine verbinding probeert te maken met de adressen uit de opgegeven range
2: Ga je hele netwerk preventief scannen met MBAM/Kaspersky Boot CD.

Ik zou deze IP adressen niet weg firewallen, ik zou gewoon je netwerk goed schoon maken. Bestrijding van symptomen vs oplossen van het probleem.

even een oud topic kicken...

Wij zitten bij een klant in een zelfde soort situatie, met Zeus ipv Torpig.

Heel vervelend allemaal, maar wat me eigenlijk bevreemd, is dat je hiervoor geblacklist wordt: in dit geval door CBL, en daardoor ook door Spamhaus.
Omdat enorm veel antispam-oplossingen Spamhaus gebruiken, is het effect voor de klant dat binnen no time 75% van hun uitgaande email gebounced terugkomt.

Natuurlijk is het rot dat er een trojan in het netwerk zit, maar imho veroorzaakt de klant geen overlast buiten z'n eigen netwerk, en er is al helemaal geen sprake van dat de klant nu een spambot is geworden. Toch neemt de halve wereld wel maatregelen alsof dat zo is.

Is dat niet een beetje overdreven?

(weet niet of ik hier een nieuw topic van moet maken eigenlijk... voel vrij om af te splitsen of te verplaatsen)

Ik zou hiervan zelf een nieuw topic voor openen. Daarom gaat hij ook op slot