Do not send e-mail to me!

URIBL

Lista negra de links baseada no SPFBL

 

A base de dados de abuso é coletada dos nossos clientes e colaboradores, onde as denuncias são feitas pelos seus próprios destinatários e processada pelo nosso servidor URIBL, que retorna:

 

  • 127.0.0.2: listado por uso indevido da URL, como phishing ou usada por spammer notório e
  • 127.0.0.3: arquivo executável listado por suspeita de ser malware.

 

Endereço do serviço: uribl.spfbl.net

 

Para colaborar com esta lista, repasse a mensagem para abuse@spfbl.net, caso você receba algum SPAM ou phishing. Processaremos qualquer denuncia enviada para este endereço.

 

IMPORTANTE: Não fornecemos quaisquer garantias, apesar dos melhores esforços em manter um sistema estável e coerente. Use por risco próprio e leve em conta que nosso sistema funciona com base em denuncias, de forma que poderá ocorrer a listagem de links até mesmo de provedores de Internet ou sistemas compartilhados de email marketing. Por esse motivo, sugerimos que use nossa URIBL marcando como spam, ao invés de rejeitando emails. Verifique a documentação do seu MTA para detalhes ou, caso não seja viável, considere usar o Rspamd.

 

IMPORTANTE: Limite atual é 10 consultas por segundo para cada bloco AS. Frequências maiores necessitam de contribuição. Favor entrar em contato informando seu IP ou range de IPs, para obter detalhes.

 

Como consultar arquivos executáveis

 

Para consultar um arquivo executável, você deve ter essas partes:

 

  1. Hash MD5 em hexadecimal do arquivo executável;
  2. Tamanho do arquivo em bytes e
  3. Extensão do arquivo.

 

Concatene estas partes com separação de ponto, a fim de gerar a assinatura do executável.

 

Vamos usar o executável da EICAR como exemplo:

44d88612fea8a8f36de82e1278abb02f.68.com

 

Finalmente, basta fazer um teste URIBL simples com esta assinatura como um nome de host convencional. As extensões aceitas por este serviço são: com, vbs, vbe, bat,cmd, pif, scr, prf, lnk, exe, shs, arj, hta, jar, ace, js, msi, sh e doc.

 

A fim de evitar consultas URIBL inúteis para arquivos doc, é necessário verificar se o mesmo contém a função de auto execução do script VBA quando o arquivo é aberto pelo usuário. Somente arquivos Word com esta característica que podem ser listados neste serviço. Um método simples de verificar isso é por meio do seguinte comando, que retorna 0 se o arquivo tiver a tal função:

egrep --binary --ignore-case '\b(AutoOpen|Document_Open|word/vbaProject\.bin)\b' 'filename.doc'

 

Todos os arquivos compactos devem ser extraidos, inclusive compacto dentro de compacto, a fim de ser obtido o executável propriamente dito. Gere apenas as assinaturas dos executaveis internos, e jamais do arquivo compacto completo.

 

No caso do arquivo compacto conter algum executável, porém protegido por senha, basta gerar a assinatura do arquivo compacto da mesma forma. As extenções aceitas neste caso serão: zip, rar, 7z e z.

 

Como consultar URL completa

 

Para consultar uma URL completa, você deve ter essas partes:

 

  1. Hash MD5 em hexadecimal da URL não codificada;
  2. hostname;
  3. porta e
  4. protoloco da URL.

 

Concatene estas partes com separação de ponto, a fim de gerar a assinatura da URL.

 

Vamos usar o URL da EICAR como exemplo:

19cf95dc55434389114c56398c90254e.www.eicar.org.80.http

 

Se a URL tiver um IPv4 no lugar host, considerar o reverso do IPv4 como host. Usamos como exemplo a URL http://203.0.113.91/:

e1fbedfae90a99bb1101eb9d49d7dc35.91.113.0.203.80.http

 

Se a URL tiver um IPv6 no lugar host, considerar o reverso do IPv6 como host. Usamos como exemplo a URL http://[2001:db8::91]/:

92217b0049b8d83035ff2be379389165.1.9.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.80.http

 

Finalmente, basta fazer um teste URIBL simples com esta assinatura como um nome de host convencional sempre informando a porta. Usar a porta padrão do protocolo se ela estiver omitida na URL. Os protocolos aceitos são HTTP e HTTPS.

 

Serão listadas as URLs que tiverem um executável perigoso como download, mesmo que passe por vários redirecionamentos.

 

Alguns spammers e fraudadores utilizam encurtadores de URL para esconder a identidade real de seu website das URIBLs convencionais. Para resolver este problema, criamos este script de consulta URIBL:

 

https://raw.githubusercontent.com/leonamp/SPFBL/master/client/uribl.pl

 

Esta é uma versão beta e mais recente do mesmo script:

https://www.dropbox.com/s/5aorrijafw5ygk0/uribl.pl?dl=0

 

Ainda que utilizem encurtadores, a consulta da nossa URIBL considera sempre a última URL de uma cadeira de redirecionamento:

ubuntu:~$ ./uribl.pl http://tinyurl.com/ycof439s
www.djmrmagoo.com.br is listed in 'uribl.spfbl.net'.

O script pode ser utilizado para varrer um arquivo HTML com a verificação de cada href deste arquivo.

ubuntu:~$ ./uribl.pl test.html
pei.paveito.date is listed in 'uribl.spfbl.net'.

O script retornará 0 para não listado e 1 para listado. Adapte este script para suas necessidades.