On 09/05/12 20:23, José Palacio wrote: > Hola señores, no se si este sea tema para esta lista pero estoy > desesperado, espero puedan ayudarme, al parecer dentro de la red de la > empresa donde laboro hay una botnet que está enviando spam y ya estamos en > varias listas negras, en http://cbl.abuseat.org nos indican que tenenos > nuestra red infectada con festi spambot. Al investigar sobre esta botnet, > aparece que se conecta usando el puerto 80. registra (-j LOG) con iptables , las maquinas que salen por puerto 80 una simple mirada te dira que ip esta traficando mucho a una sola IP, y sera candidato a estar con el spambot... lo otro nmap al router...
> > Me gustaría identificar los equipos que estan infectados, mi idea es buscar > las direcciones IP de los servidores de esta botnet y verificar cuales de > mis equipos se están conectando con esas IP y obviamente reinstalar los > sistemas en esas máquinas, he buscado en google, pero no encuentro > información sobre eso, les agradecería cualquier colaboración que pudieran > brindarme, ya que son muchisomos computadores y revisarlos uno a uno sería > demasiado tedioso. > > Si alguno tiene otra idea, es bien recibida. > > Gracias de antemano. > Atte. Enrique Herrera Noya Ingeniero de Infraestructura Departamento de Ingenieria LinuxLatinAmerica 56-2-4834060 09-92303151 -- Mis Certificaciones: Red Hat Certified Engineer RHCE Nº100223072 (RH6.0) Red Hat Certified System Administrato RHCSA Nº100223072 (RH6.0) Red Hat Certified Technician (RHCT) Nº605010753835478 (RH5.0) Novell Certified Linux Professional CLP 10