Доброго времени суток.
Наш ip адрес (Германия) который натит несколько компьтеров из внутренней сети и работает как почтовый сервер, последнее время начал попадать в черный список с причиной:
Я прикрутил на шлюз (Linux компьютер) netflow который пишет откуда и куда ходит трафик.
Собственно вопрос - по каким признакам можно выловить какой компьютер в сети инфицирован urlzone2 ? Блеклист раз или два явно указывал на какой ip адрес осуществлялось подключение, но потом, почему - то они это убрали. И как искать у меня что-то идей нет.
Наш ip адрес (Германия) который натит несколько компьтеров из внутренней сети и работает как почтовый сервер, последнее время начал попадать в черный список с причиной:
Скрытый текст |
---|
This IP is infected with, or is NATting for a machine infected with s_urlzone2 Note: If you wish to look up this bot name via the web, remove the "s_" before you do your search. This was detected by observing this IP attempting to make contact to a s_urlzone2 Command and Control server, with contents unique to s_urlzone2 C&C command protocols. This detection corresponds to a connection at 2014-04-03 06:38:11 (GMT - this timestamp is believed accurate to within one second). These infections are rated as a "severe threat" by Microsoft. It is a trojan downloader, and can download and execute ANY software on the infected computer. You will need to find and eradicate the infection before delisting the IP address. |
Собственно вопрос - по каким признакам можно выловить какой компьютер в сети инфицирован urlzone2 ? Блеклист раз или два явно указывал на какой ip адрес осуществлялось подключение, но потом, почему - то они это убрали. И как искать у меня что-то идей нет.