Nacionalni CERT svakog ponedjeljka priprema tjedne izvještaje o zaraženim računalima ili poslužiteljima i dostavlja ih vlasnicima IP adresnog prostora u kojem je zabilježena neželjena aktivnost, tj. slanje neželjene pošte (spama). Izvještaji se dostavljaju u “.zip” formatu, a unutar njega se nalazi “.csv” datoteka s nazivom vlasnika adresnog prostora.
Datoteka je podijeljena u osam stupaca, a opis svakog pojedinog stupca se nalazi u nastavku:
timestamp - datum, vrijeme i vremenska zona kad je aktivnost otkrivena
ip - IP adresa na kojoj je otkriven bot
timestamp - datum, vrijeme i vremenska zona kad je aktivnost otkrivena
ip - IP adresa registrirana kao izvor spama
port - izvorišni port
hostname - hostname dobiven putem reverznog DNS-a
source_as_name - naziv izvorišnog autonomnog sustava (AS)
source_asn - ASN izvorišta
classification_type - tip klasifikacije
malware_name - naziv malvera koji generira spam
Najvažniji je drugi stupac pod oznakom “IP” u kojem se nalazi IP adresa uređaja na kojem je zabilježena nedozvoljena aktivnost (neželjena pošta – spam). Važno je napomenuti kako se radi o javnoj IP adresi koja se ne mora podudarati s adresom računala, ona obično posjeduju vlastitu privatnu IP adresu. Potrebno je obratiti pažnju na prvi stupac “timestamp”, koji predstavlja vrijeme kada je zaraženi uređaj slao neželjenu poštu.
Ako zaprimite ovakav tip izvještaja u najvećem broju slučajeva radi se o uređaju (računalu ili poslužitelju) zaraženom zlonamjernim programom koji šalje neželjenu poštu prema širokoj masi – spambot. Dodatno postoji mogućnost da je kompromitiran račun elektroničke pošte unutar vašeg sustava elektroničke pošte s kojeg se šalje velika količina neželjene pošte prema drugim korisnicima.