Portal Home > Knowledgebase > Transparency Report > 24/07/2014 [HACK] CERT.at @ Austria 1 (34042)

24/07/2014 [HACK] CERT.at @ Austria 1 (34042)

(English version below)
Sehr geehrte Netzbetreiber,

wir wurden informiert, dass bei den im Anhang genannten IP-Adressen aus
Ihrem AS mit hoher Wahrscheinlichkeit eines oder mehrere der nachstehend
beschriebenen Sicherheitsprobleme bestehen.

Eine Liste der IP Adressen mit Angabe des jeweils vermutlich vorhandenen
Sicherheitsproblems (in Spalte 5 "Bot Name") finden Sie im Attachment.

File Format:

1 - Timestamp** (last seen)
2 - Infected IP
3 - ASN
4 - C&C Domain
5 - Bot Name
6 - Remote IP
7 - Remote Port
8 - Local Port

**: Zeitzone: UTC

Wichtig! Wir leiten diese Information lediglich weiter und übernehmen
*keine Garantie* für die Korrektheit der Daten. Uns ist bewusst, dass
es "False Positives" geben kann. Sollte diese Mail inkorrekte Daten
beinhaltet haben, so freuen wir uns, wenn Sie uns dies mitteilen
können, sodass wir unsere Berichte in Zukunft verbessern können.

Wir bitten Sie die Vorfälle Ihren Richtlinien entsprechend zu behandeln.

Mit freundlichen Grüssen,

CERT.at


--------------------------------------------

Dear network owner,

we were informed that the attached IP addresses from your network are
probably infected with malware or are otherwise involved in malicious
activities on the Internet.

Note: we are aware that this list might contain false positives and we
can not check every time if the provided list is accurate.
This data is provided "as is".

Please act according to your policies.

The list of affected IP addresses is attached.

File Format:

1 - Timestamp** (last seen)
2 - Infected IP
3 - ASN
4 - C&C Domain
5 - Bot Name
6 - Remote IP
7 - Remote Port
8 - Local Port

**: Timezone: UTC

Kind regards,

CERT.at


----- snip --- attached log files ---- snip -----

--
// CERT Austria - http://www.cert.at/ - T: +43 1 5056416 78
// an Initiative of nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg


Time: Wed Jul 23 02:31:24 2014 Source-IP: 151.236.8.47 ASN: 57169 C&C Server: avv-stat.com Bot-Infection:zeus Destination-IP: 82.165.37.26 Destination-Port: 443 Local-Port: 34042


Action that has been taken from Proxy.sh: Because the server is located in a jurisdiction with precise intellectual property laws, we have reset accounts who forwarded port 34042 (nothing may identify a single account) and we have blocked port 34042 via Firewall.

Related Knowledgebase Articles