botnet Ramnit

[dataczech]

Zdravím,
neví někdo jak identifikovat napadené stroje mallwarem "Mumblehard".
Chodí nám stížnosti od našeho poskytovatele a hrozí blokací.
Jedná se o IP brány, tudíž to může být jakýkoliv zákazník bez veřejné IP.
stížností:
obdrželi jsme informaci o kompromitovaných strojích na Vaší IP adrese:
212.80.64.22.
Tyto stroje byli údajně napadeny malwarem "Mumblehard".

Vaše IP adresa je údajně zneužívaná botnetem Ramnit, viz příloha.

asn|ip|time|ptr|cc|type|info|info2
AS29208|212.80.64.22|28-07-2016 16:10:01Z|CZ|botnet drone|Description: Ramnit botnet victim connection to sinkhole details, Timestamp : 1469722201.63, City : Zasmuky, Count: 1109, First Seen: 28-07-2016 16:10:01, Last Seen: 04-08-2016 08:52:27|
AS29208|212.80.64.22|28-07-2016 16:10:01Z|CZ|botnet drone|Description: Ramnit botnet victim connection to sinkhole details, Timestamp : 1469722201.63, City : Zasmuky, Count: 1109, First Seen: 28-07-2016 16:10:01, Last Seen: 04-08-2016 08:52:27|
AS29208|212.80.64.22|28-07-2016 16:10:01Z|CZ|botnet drone|Description: Ramnit botnet victim connection to sinkhole details, Timestamp : 1469722201.63, City : Zasmuky, Count: 1109, First Seen: 28-07-2016 16:10:01, Last Seen: 04-08-2016 08:52:27|

Prosím o radu

[ludvik]

Z tohodle výpisu to budeš identifikovat dost těžko ... použij Google. Mumblehard je linuxový malware, tím se ti to dost zúží. I když se lze také dočíst, že je zašitý v publikačních systémech Wordpress a Joomla.

Jenom mi to přijde trochu falešné. Ramnit není botnet, ale červ pro windows šířící se po flashkách (resp. pomocí autorun).

[dataczech]

díky za odpověď, mě to přijde trochu zmatené, nevědí pořádně co vlastně chtějí.