jizz-mo
Goto Top

Sind auf CBL Blackliste trotz mehrfacher Austragung aus der Liste. Ratschläge zur dauerhaften Entfernung?

Hallo,

wir haben nun seit einiger Zeit mit Blacklisten zu kämpfen, was uns daran hindert, andere Arbeiten in der Firma zu erledigen.

Folgende Situation:

Es passiert meistens am Morgen, dass wir mitgeteilt bekommen, dass Emails nicht rausgehen und dass die Mitarbeiter eine Unzustellbarkeitsnachricht Outlook erhalten. Wenn wir dann auf Blacklist-Check Seiten gehen, erkennen wir gleich, dass wir auf der CBL Blocklist sind. Versuchen wir uns auszutragen, hilft das in der Regel nach einer Weile so lange, bis am nächsten, spätestens am übernächsten Tag erneut dasselbe Problem auftritt. Wir würden gerne der Sache auf den Grund gehen und dieses Problem ein für alle Mal beseitigen, wenn wir wüssten, wie.

Wir haben den Systemtechniker unseres Vertrauens darauf angesetzt, den Fehler zu erkennen und zu beseitigen. Er jedoch meinte, der Fehler liege nicht bei uns und dass wir keine "SPAM-Schleuder" seien. Er hat unsere Firewall gecheckt und meinte, dass die ausgehenden Emails definitiv kein SPAM sein können. Es liege höchstwahrscheinlich an unserer Homepage.

Wie landen wir eigentlich auf solchen Listen, wenn wir selber kein SPAM verschicken?

Die CBL Webseite hat folgende Erklärung für das Auflisten:

"This IP address is infected with, or is NATting for a machine infected with the ZeuS trojan, also known as "Zbot" and "WSNPoem".

ZeuS is a malicious software (malware) used by cybercriminals to commit ebanking fraud and steal sensitive personal data, such as credentials (username, password) for online services (email, webmail, etc.).

The infection was detected by observing this IP address attempting to make contact to a ZeuS Command and Control server (C&C), a central server used by the criminals to control with ZeuS infected computers (bots).

More information about the ZeuS Trojan can be found here:

•Microsoft Malware Protection Center: Win32/Zbot
•Symantec: Trojan.Zbot
•McAfee Labs Threat Advisory: PWS-Zbot


You can try Kaspersky's Zbot killer to get this infection detected/removed. However, we strongly recommend you to do completely re-install your operation system to get this infection removed permanently.

This was detected by a TCP/IP connection from unserMailserver on port 64060 going to IP address 173.193.197.194 (the sinkhole) on port 80.

The botnet command and control domain for this connection was "cyhqlayswljeyplrjnqwnbhkr.info".

Behind a NAT, you should be able to find the infected machine by looking for attempted connections to IP address 173.193.197.194 or host name cyhqlayswljeyplrjnqwnbhkr.info on any port with a network sniffer such as wireshark. Equivalently, you can examine your DNS server or proxy server logs to references to 173.193.197.194 or cyhqlayswljeyplrjnqwnbhkr.info. See Advanced Techniques for more detail on how to use wireshark - ignore the references to port 25/SMTP traffic - the identifying activity is NOT on port 25.

This detection corresponds to a connection at 2013-12-10 07:05:58 (GMT - this timestamp is believed accurate to within one second).

These infections are rated as a "severe threat" by Microsoft. It is a trojan downloader, and can download and execute ANY software on the infected computer.

You will need to find and eradicate the infection before delisting the IP address.

Norton Power Eraser is a free tool and doesn't require installation. It just needs to be downloaded and run. One of our team has tested the tool with Zeus, Ice-X, Citadel, ZeroAccess and Cutwail. It was able to detect and clean up the system in each case. It probably works with many other infections.

We strongly recommend that you DO NOT simply firewall off connections to the sinkhole IP addresses given above. Those IP addresses are of sinkholes operated by malware researchers. In other words, it's a "sensor" (only) run by "the good guys". The bot "thinks" its a command and control server run by the spambot operators but it isn't. It DOES NOT actually download anything, and is not a threat. If you firewall the sinkhole addresses, your IPs will remain infected, and they will STILL be delivering your users/customers personal information, including banking information to the criminal bot operators.

If you do choose to firewall these IPs, PLEASE instrument your firewall to tell you which internal machine is connecting to them so that you can identify the infected machine yourself and fix it.

We are enhancing the instructions on how to find these infections, and more information will be given here as it becomes available.

Virtually all detections made by the CBL are of infections that do NOT leave any "tracks" for you to find in your mail server logs. This is even more important for the viruses described here - these detections are made on network-level detections of malicious behaviour and may NOT involve malicious email being sent.

This means: if you have port 25 blocking enabled, do not take this as indication that your port 25 blocking isn't working.

The links above may help you find this infection. You can also consult Advanced Techniques for other options and alternatives. NOTE: the Advanced Techniques link focuses on finding port 25(SMTP) traffic. With "sinkhole malware" detections such as this listing, we aren't detecting port 25 traffic, we're detecting traffic on other ports. Therefore, when reading Advanced Techniques, you will need to consider all ports, not just SMTP.

Pay very close attention: Most of these trojans have extremely poor detection rates in current Anti-Virus software. For example, Ponmocup is only detected by 3 out of 49 AV tools queried at Virus Total.

Thus: having your anti-virus software doesn't find anything doesn't prove that you're not infected.

While we regret having to say this, downloaders will generally download many different malicious payloads. Even if an Anti-Virus product finds and removes the direct threat, they will not have detected or removed the other malicious payloads. For that reason, we recommend recloning the machine - meaning: reformatting the disks on the infected machine, and re-installing all software from known-good sources.


Jedes Mal wenn wir auf dieser Liste landen, ändert sich nur der Port (hier: 64060) und Control Domain (hier: cyhqlayswljeyplrjnqwnbhkr.info)

Eine Idee, wie wir die Sache ein für allemal beseitigen können?

Content-ID: 224141

Url: https://administrator.de/forum/sind-auf-cbl-blackliste-trotz-mehrfacher-austragung-aus-der-liste-ratschlaege-zur-dauerhaften-entfernung-224141.html

Ausgedruckt am: 24.12.2024 um 02:12 Uhr

Lochkartenstanzer
Lösung Lochkartenstanzer 10.12.2013, aktualisiert am 12.12.2013 um 11:07:15 Uhr
Goto Top
Zitat von @Jizz-Mo:

Eine Idee, wie wir die Sache ein für allemal beseitigen können?

Du hast wesentliche Infos unterschlagen:

Habt Ihr eine dynamische oder feste IP-Adresse von der Ihr schickt? Bei dynamisch habt Ihr schon verloren.
Dürfen eure User "direkt" raus pder über proxy? Sind die Firewall-regeln wirklich dicht, d.h. alles gesperrt und nur Server/proxies dürfen raus und es ist eindeutig festgelegt, welche Dienste von wem genutzt werden dürfen?

Seid Ihr sicher, daß eure Clients sauber sind?

lks
Jizz-Mo
Jizz-Mo 10.12.2013 um 12:15:39 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

> Zitat von @Jizz-Mo:
>
> Eine Idee, wie wir die Sache ein für allemal beseitigen können?

Du hast wesentliche Infos unterschlagen:

Habt Ihr eine dynamische oder feste IP-Adresse von der Ihr schickt? Bei dynamisch habt Ihr schon verloren.
Dürfen eure User "direkt" raus pder über proxy? Sind die Firewall-regeln wirklich dicht, d.h. alles gesperrt
und nur Server/proxies dürfen raus und es ist eindeutig festgelegt, welche Dienste von wem genutzt werden dürfen?

Seid Ihr sicher, daß eure Clients sauber sind?

lks

Sorry, gebt einfach Bescheid, wenn ihr mehr Infos benötigt. Ich versuche, soweit wie möglich alles bereitzustellen.

Wir haben eine feste IP-Adresse. Unsere User dürfen nur über die Firewall raus. Laut Systemtechniker des Vertrauens, der uns das eingestellt hat, ist alles dicht bei uns (was anscheinend nicht so ist)

Clients sollten sauber sein, werden alle regelmäßig gescannt.

Hilft euch die Info seitens CBL oben vielleicht?

Also ich habe das so verstanden: Unsere IP Adresse hat versucht, ein Zeus Control Center zu kontaktieren. In diesem Fall wäre es die Verbindung zu "cyhqlayswljeyplrjnqwnbhkr.info"

Kurz: Kontaktversuch unserer IP-Adresse von Port 64060 nach 173.193.197.194 auf Port 80, und das inzwischen spätestens jeden zweiten Tag.

Grüße
Lochkartenstanzer
Lösung Lochkartenstanzer 10.12.2013, aktualisiert am 12.12.2013 um 11:07:26 Uhr
Goto Top
Zitat von @Jizz-Mo:

Wir haben eine feste IP-Adresse. Unsere User dürfen nur über die Firewall raus.

Uneingeschränkt oder über einen proxy/content-Filter der reguliert? Bei den meisten Instalaltionen die Probleme haben, wird einfach von allen Clients zugriff auf Port 80 nach draußen erlaubt udn die Firewall macht nihts anderes als routing + NAT udn einschränkung auf Port 80/443 ohen den content zu überprüfen. Sinnvoll wäre hier eine proxy dazwischenzuklemmen, damit man auch eine Kontrolle hat, wer wann wohin darf.

Laut Systemtechniker des Vertrauens, der
uns das eingestellt hat, ist alles dicht bei uns (was anscheinend nicht so ist)

Er soll mal das logging anwerfen. Durch die Angabe des namens hat man ja sogar einen wert auf den man triggern kann.


Clients sollten sauber sein, werden alle regelmäßig gescannt.

Das ist kein Gewähr. Camouflage ist unter Malware weit verbreitet.

Hilft euch die Info seitens CBL oben vielleicht?

Die sagt nur, daß Ihr euch den Zeus eingefangen habt.

Also ich habe das so verstanden: Unsere IP Adresse hat versucht, ein Zeus Control Center zu kontaktieren. In diesem Fall wäre
es die Verbindung zu "cyhqlayswljeyplrjnqwnbhkr.info"

Da wrid versucht dorthin eine Mail zu schicken.

Kurz: Kontaktversuch unserer IP-Adresse von Port 64060 nach 173.193.197.194 auf Port 80, und das inzwischen spätestens jeden
zweiten Tag.

Ihr müßt einfach auf der Firewall triggern loggen , wer die 173.193.197.194 kontaktieren will. Bei den meisten firewalls reicht es da einacfh eine Regel zu definieren und diese loggen zu lassen.

Ihr könntet natürlich auch einfach dieses sinkhole blockieren, was das CBL-Problem beheben würde. Das wäre aber nur das Symptom und nicht die Ursache.

Wenn wirklich der verdacht besteht, solltet Ihr euch eine ladung rescue-CDs brennen (z.B. desinfect, kaspersky, avira, etc) und alles runterfahren. Damit meine ich wirklich alles. Danch fahrt Ihr scannt Ihr die Systeme alle offline durch und fahrt nur die hoch, die mutmaßlich sauber sind.

Ich weiß, daß kann einem das Wochenende vermießen, aber das ist die sauberste Möglichkeit.

mit einsatz von PXE und WOL und einem gut vorbereiteten PXE-Server (zB. RasPI mit desinfect) geht das sogar recht zügig, ohne das man sich die Turnschuhe zu arg strapazieren muß

lks
tikayevent
Lösung tikayevent 10.12.2013, aktualisiert am 12.12.2013 um 11:07:36 Uhr
Goto Top
Wenn du es dauerhaft lösen willst, trenne Server und Clients auf, so dass der Mailserver über eine eigene IP-Adresse verfügt und die Clients über eine andere IP-Adresse rausgehen. Frag bei deinem Provider an, ob der eine weitere IP-Adresse oder ein kleines Subnetz auf den Anschluss legen kann, wenn nicht, dann hast du bei den alten Telekom-DSL-Anschlüssen (ADSL, ADSL2+ ohne Entertain oder DSL symmetrisch, VDSL oder ADSL2+ mit Entertain können es nicht) über einen Drittprovider noch einen DSL-Zugang zu bestellen, der parallel auf dem vorhandenen DSL-Anschluss mitläuft.

Ich möchte auch nochmal auf eine Passage aus der Mail hinweisen:
Pay very close attention: Most of these trojans have extremely poor detection rates in current Anti-Virus software. For example, Ponmocup is only detected by 3 out of 49 AV tools queried at Virus Total.
und die dazu passende Info von dir:
Clients sollten sauber sein, werden alle regelmäßig gescannt.
Ich hatte selbst schon den Spaß, dass unser Virenscanner nicht alles erkannt hat. Da wir den Virenschutz zu der Zeit von einem externen Dienstleister bezogen haben, der etliche tausend Clients betreut, wurde die Infektion sehr schnell sehr lustig (wir hatten nur Begleitinfektionen).
Daher prüfe ich Rechner, wenn ich die Vermutung habe, dass da irgendwas an Schadsoftware drauf sein könnte, grundsätzlich offline, also mit einem LiveSystem und dann mit mehreren verschiedenen AV-Lösungen.
Schadsoftware greift nämlich heutzutage erstmal die AV-Lösung an oder verändert das Betriebssystem so, dass die AV-Lösung außer Gefecht ist.

Aber das wichtigste ist wie gesagt eine Trennung von Server und Client-Traffic.
Jizz-Mo
Jizz-Mo 10.12.2013 um 13:07:48 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

> Zitat von @Jizz-Mo:
>
> Wir haben eine feste IP-Adresse. Unsere User dürfen nur über die Firewall raus.

Uneingeschränkt oder über einen proxy/content-Filter der reguliert? Bei den meisten Instalaltionen die Probleme haben,
wird einfach von allen Clients zugriff auf Port 80 nach draußen erlaubt udn die Firewall macht nihts anderes als routing +
NAT udn einschränkung auf Port 80/443 ohen den content zu überprüfen. Sinnvoll wäre hier eine proxy
dazwischenzuklemmen, damit man auch eine Kontrolle hat, wer wann wohin darf.

> Laut Systemtechniker des Vertrauens, der
> uns das eingestellt hat, ist alles dicht bei uns (was anscheinend nicht so ist)

Er soll mal das logging anwerfen. Durch die Angabe des namens hat man ja sogar einen wert auf den man triggern kann.


> Clients sollten sauber sein, werden alle regelmäßig gescannt.

Das ist kein Gewähr. Camouflage ist unter Malware weit verbreitet.

> Hilft euch die Info seitens CBL oben vielleicht?

Die sagt nur, daß Ihr euch den Zeus eingefangen habt.

> Also ich habe das so verstanden: Unsere IP Adresse hat versucht, ein Zeus Control Center zu kontaktieren. In diesem Fall
wäre
> es die Verbindung zu "cyhqlayswljeyplrjnqwnbhkr.info"

Da wrid versucht dorthin eine Mail zu schicken.

> Kurz: Kontaktversuch unserer IP-Adresse von Port 64060 nach 173.193.197.194 auf Port 80, und das inzwischen spätestens
jeden
> zweiten Tag.

Ihr müßt einfach auf der Firewall triggern loggen , wer die 173.193.197.194 kontaktieren will. Bei den meisten
firewalls reicht es da einacfh eine Regel zu definieren und diese loggen zu lassen.

Ihr könntet natürlich auch einfach dieses sinkhole blockieren, was das CBL-Problem beheben würde. Das wäre
aber nur das Symptom und nicht die Ursache.

Wenn wirklich der verdacht besteht, solltet Ihr euch eine ladung rescue-CDs brennen (z.B. desinfect, kaspersky, avira, etc) und
alles runterfahren. Damit meine ich wirklich alles. Danch fahrt Ihr scannt Ihr die Systeme alle offline durch und fahrt nur die
hoch, die mutmaßlich sauber sind.

Ich weiß, daß kann einem das Wochenende vermießen, aber das ist die sauberste Möglichkeit.

mit einsatz von PXE und WOL und einem gut vorbereiteten PXE-Server (zB. RasPI mit desinfect) geht das sogar recht zügig, ohne
das man sich die Turnschuhe zu arg strapazieren muß

lks

Content Filtering ist aktiv, das heißt, Seiten wie Youtube usw. können erst gar nicht besucht werden. Ich versuche Mal in den Logs nach dem Übeltäter fündig zu werden. Wir haben eine Fortigate 60C und eine FortiMail. Erste Anlaufstelle ist die Fortigate?
Jizz-Mo
Jizz-Mo 10.12.2013 um 13:09:26 Uhr
Goto Top
Zitat von @tikayevent:

Wenn du es dauerhaft lösen willst, trenne Server und Clients auf, so dass der Mailserver über eine eigene IP-Adresse
verfügt und die Clients über eine andere IP-Adresse rausgehen. Frag bei deinem Provider an, ob der eine weitere
IP-Adresse oder ein kleines Subnetz auf den Anschluss legen kann, wenn nicht, dann hast du bei den alten
Telekom-DSL-Anschlüssen (ADSL, ADSL2+ ohne Entertain oder DSL symmetrisch, VDSL oder ADSL2+ mit Entertain können es
nicht) über einen Drittprovider noch einen DSL-Zugang zu bestellen, der parallel auf dem vorhandenen DSL-Anschluss
mitläuft.

Ich möchte auch nochmal auf eine Passage aus der Mail hinweisen:
> Pay very close attention: Most of these trojans have extremely poor detection rates in current Anti-Virus software. For
example, Ponmocup is only detected by 3 out of 49 AV tools queried at Virus Total.
und die dazu passende Info von dir:
> Clients sollten sauber sein, werden alle regelmäßig gescannt.
Ich hatte selbst schon den Spaß, dass unser Virenscanner nicht alles erkannt hat. Da wir den Virenschutz zu der Zeit von
einem externen Dienstleister bezogen haben, der etliche tausend Clients betreut, wurde die Infektion sehr schnell sehr lustig (wir
hatten nur Begleitinfektionen).
Daher prüfe ich Rechner, wenn ich die Vermutung habe, dass da irgendwas an Schadsoftware drauf sein könnte,
grundsätzlich offline, also mit einem LiveSystem und dann mit mehreren verschiedenen AV-Lösungen.
Schadsoftware greift nämlich heutzutage erstmal die AV-Lösung an oder verändert das Betriebssystem so, dass die
AV-Lösung außer Gefecht ist.

Aber das wichtigste ist wie gesagt eine Trennung von Server und Client-Traffic.

Danke, eigentlich wollte ich in Klammern schreiben, dass mir das klar ist, dass eventuell die Clients doch infiziert sein können. Ich nehme aber wirklich jeden Rat dankend an face-wink
AndiEoh
Lösung AndiEoh 10.12.2013, aktualisiert am 12.12.2013 um 11:07:42 Uhr
Goto Top
Hallo,

nicht vergessen: Falls euer Mailserver auf Windows basiert kann natürlich auch dieser direkt infiziert sein. Wenn es wirklich eine Zeus Variante ist dann sind die Mail Blacklist übrigens euer kleinstes Problem.

Gruß

Andi
Jizz-Mo
Jizz-Mo 10.12.2013 aktualisiert um 14:20:35 Uhr
Goto Top
Ich habe gerade in den Logs drüber geschaut und habe tatsächlich ein Client ausmachen können, der immer wieder versucht die 173.193.197.194 zu kontaktieren. Ich glaube, wir sind auf dem richtigen Weg. Werden den Übeltäter mal vom Netz nehmen und auf Herz und Nieren testen und womöglich neu aufsetzen, wenn nötig.

Komisch ist aber, dass der Client zwar versucht, diese IP Adresse zu kontaktieren, unsere Firewall diesen jedoch unterbindet (gekennzeichnet mit BLOCKED). Trotzdem kommen wir auf die Blacklist?
AndiEoh
Lösung AndiEoh 10.12.2013, aktualisiert am 12.12.2013 um 11:07:48 Uhr
Goto Top
Diese IP ist nicht die einzige und wahrscheinlich werden auch diverse Ports verwendet. Falls der Infizierte per Port 80 auf eine andere IP des C&C Netzes kommt seid Ihr wieder dabei. Aus diesem Grund dauert es immer ein wenig bis Ihr wieder auf der Blacklist landet. Ihr könnt dem Betreiber dankbar sein, ansonsten hättet Ihr wahrscheinlich noch lange ungebetene Gäste im Haus.

Gruß

Andi
Lochkartenstanzer
Lösung Lochkartenstanzer 10.12.2013, aktualisiert am 12.12.2013 um 11:07:49 Uhr
Goto Top
Zitat von @Jizz-Mo:

Komisch ist aber, dass der Client zwar versucht, diese IP Adresse zu kontaktieren, unsere Firewall diesen jedoch unterbindet
(gekennzeichnet mit BLOCKED). Trotzdem kommen wir auf die Blacklist?

Habt Ihr nur die Ziel-IP geblockt oder den Client. Wenn Ihr nur die uziel-Ip geblockt hat, habt ihr vermutlich mnur einen Sinkhole-rechner erwischt. es gibt da normalerweise Dutzende davon.

Seid Ihr sicher, daß das der Client einzige Betroffene ist?

Ich würde auf jeden Fall ein Wochenende opfern udn alle Kisten, angefangen bei den servern offline durchscannen (Mit dem Chef verhandeln wegen Freizeitausgeich!) Das ist sicher billiger für den betrieb, als alle 3 tage "nicht arbeiten zu können", weil die Kommunikation nicht klappt.

lks
Jizz-Mo
Jizz-Mo 10.12.2013 um 14:51:37 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

> Zitat von @Jizz-Mo:
>
> Komisch ist aber, dass der Client zwar versucht, diese IP Adresse zu kontaktieren, unsere Firewall diesen jedoch unterbindet
> (gekennzeichnet mit BLOCKED). Trotzdem kommen wir auf die Blacklist?

Habt Ihr nur die Ziel-IP geblockt oder den Client. Wenn Ihr nur die uziel-Ip geblockt hat, habt ihr vermutlich mnur einen
Sinkhole-rechner erwischt. es gibt da normalerweise Dutzende davon.

Seid Ihr sicher, daß das der Client einzige Betroffene ist?

Ich würde auf jeden Fall ein Wochenende opfern udn alle Kisten, angefangen bei den servern offline durchscannen (Mit dem Chef
verhandeln wegen Freizeitausgeich!) Das ist sicher billiger für den betrieb, als alle 3 tage "nicht arbeiten zu
können", weil die Kommunikation nicht klappt.

lks

Momentan ist nur der Client vom Netz genommen. Wir haben uns entschieden, dass wir den neu aufsetzen. Mir raucht der Kopf, weil ich die Logs, so gut es geht, analysiert habe. Scheint wirklich so, dass es der einzige Client ist, der so ein Unsinn anstellt. Bei anderen Clients werden eher harmlosere Sachen geblockt wie Verlinkungen auf Facebook usw.

Uns ist auch ein Lichtlein aufgegangen in der Zwischenzeit: Als die Kollegin in den letzten 3 Wochen krank war hatten wir blacklisttechnisch keine Probleme. Wenn wir trotz neu Aufsetzen immer noch Probleme haben sollten, werden wir tatsächlich eine größere Aktion in Betracht ziehen müssen. Ich hoffe, mir bleibt mein Urlaub über Weihnachten...
Jizz-Mo
Jizz-Mo 12.12.2013 um 11:16:06 Uhr
Goto Top
So jetza, hallo an alle,

nachdem wir den vermeintlichen Übeltater vom Netz genommen haben und mit sämlicher Antivirensoftware nochmals geprüft haben, haben wir tatsächlich ein Zbot identifizieren können. Haben den kurzerhand gekillt und neu aufgesetzt. Jetzt herrscht soweit auch Ruhe. Das Servergespeicherte Profil haben wir ebenfalls gelöscht, um ganz sicher zu gehen, dass der keine Reste im Profil hat.

Ich bedanke mich bei allen, die uns unterstützt haben. Ihr seid echt klasse...
Lochkartenstanzer
Lochkartenstanzer 12.12.2013 aktualisiert um 12:52:46 Uhr
Goto Top
Moin,

Es gibt ein ZEUS-Update. Nicht vergessen einzuspielen. face-smile

lks