Как реагировать на абузу?

0

2

Компания держит сервер на Hetzner'е. Hetzner перенаправил мне абузу следующего содержания и угрозу выключить сервер, если не решу проблему в течение 24 часов:

«This site seeds viruses on internet. Please take action now!!!»

(да, это вся абуза, автор - «A.B.» с e-mail'ом из бессмысленной последовательности букв @gmail.com)

В данном случае в спаме удалось найти более детальное матерное письмо от автора этой абузы, из которого можно с некоторой степенью уверенности догадаться, что он принял за вирус. На основании этой догадки я отправил объяснение, что, собственно, произошло и почему я считаю, что вируса нет и что ничего делать не надо.

Меня беспокоит то, что я не знаю, как надо было бы отвечать, если бы этого матерного письма в спаме не было. У кого тут есть опыт общения с командой Hetzner'а по поводу таких расплывчатых и невалидных абуз от анонимов?

Ссылка

←	Debian 7.0

Техподдержка GNU/Linux для индивидуальных пользователей

→

«Вот этот антивирус <тут ссылка на любой онлайн антивирус для сайтов> вирусов у меня на сайте не нашел. Пожалуйста уточните, какие имеют место признаки наличия вируса на моем сайте»

Dobriy_i_Prostoy ★
(09.03.13 10:17:52 MSK)

Ссылка

Возможно, вот это

выключить сервер, если не решу проблему в течение 24 часов

стандартная часть уведомления и ничего выключать не будут.

ostin ★★★★★
(09.03.13 10:59:02 MSK)

Ссылка

Опять же, если кто-то что-то именно «рассылает», обычно просят письмо со всеми заголовками. Если есть слово «вирус», нужна ссылка, в которой был бы домен\ip того, на кого жалуются. Мало ли кто про кого и что написал.

Вообще, лучше отвечать не так, что он сам дурак, а типа «спасибо за сообщения, мы провели тщательнейший аудит безопасности, но проблем не выявили».

ostin ★★★★★
(09.03.13 11:03:33 MSK)

Ссылка

угрозу выключить сервер, если не решу проблему в течение 24 часов

Вполне нормальный ход, чтобы письмо не было проигнорировано.

Меня беспокоит то, что я не знаю, как надо было бы отвечать, если бы этого матерного письма в спаме не было.

«Всё проверил, ничего не нашёл, ткните пальцем в проблему, пожалуйста.»

Плюс бывает, что всякие какеры добавляют свой обфусцированный жабоскрипт, подгружающий вирусы с другого сайта, такой тоже довольно проблемно бывает обнаружить.

om-nom-nimouse ★★
(09.03.13 11:34:57 MSK)

Ссылка

Ух ты! А как себе на сайт вирус посадить? Поделишься? И чтобы на "народе" работало…

~~Eddy_Em~~ ☆☆☆☆☆
(09.03.13 11:37:54 MSK)

Ответ на: комментарий от Eddy_Em 09.03.13 11:37:54 MSK

А как себе на сайт вирус посадить?

Я поделюсь. Просишь знакомого какера взломать твой сайт на какой-нибудь говно-CMS вроде джумлы, друпала или вордпреса, он ломает, вставляет на сайт джаваскрипт с загрузкой вируса, и всё - ты в ботнете.

om-nom-nimouse ★★
(09.03.13 11:42:32 MSK)

Ответ на: комментарий от om-nom-nimouse 09.03.13 11:42:32 MSK

Не, я спрашиваю, как это сделать самому: чтобы, скажем, блокировщик экрана вылезал или еще какая хрень…

~~Eddy_Em~~ ☆☆☆☆☆
(09.03.13 11:48:17 MSK)

Ответ на: комментарий от Eddy_Em 09.03.13 11:48:17 MSK

Через дырку в браузере заставляешь последний скачать файл, эксплуатирующий дырку в системе. Важно, чтобы незаметно для пользователя. Можно еще картинку вставить с произвольным кодом, который будет выполнен через переполнение буфера. Некоторые сайты имеют особо суровую серверную малварь, которая, определяет юзерагент и перенаправляет на скачивание вредоноса, допустим, для Android.

shimon ★★★★★
(09.03.13 11:54:25 MSK)

Ответ на: комментарий от Eddy_Em 09.03.13 11:48:17 MSK

Не, я спрашиваю, как это сделать самому

Ну это. Ты не в том месте спрашиваешь таки.

om-nom-nimouse ★★
(09.03.13 11:54:29 MSK)

Ответ на: комментарий от om-nom-nimouse 09.03.13 11:54:29 MSK

Почему? Очень даже в том. ЛОР же! А мне интересно, как обезопасить сайт.

~~Eddy_Em~~ ☆☆☆☆☆
(09.03.13 11:55:02 MSK)

Ответ на: комментарий от shimon 09.03.13 11:54:25 MSK

Некоторые сайты имеют особо суровую серверную малварь, которая, определяет юзерагент и перенаправляет на скачивание вредоноса, допустим, для Android.

Это делается тупо через .htaccess

om-nom-nimouse ★★
(09.03.13 11:55:20 MSK)

Ответ на: комментарий от shimon 09.03.13 11:54:25 MSK

Надо будет побольше про это почитать. И если что-нибудь серьезное надумаю делать, то поставить защиту от всяких нехороших прошивок (типа мастдайки, макоси, бунты или андроида). Но это — так, в шутку.

~~Eddy_Em~~ ☆☆☆☆☆
(09.03.13 11:56:17 MSK)

Ссылка

Ответ на: комментарий от Eddy_Em 09.03.13 11:55:02 MSK

А мне интересно, как обезопасить сайт.

Убери права на запись везде, где только можно. Храни чексуммы и время от времени проверяй.

om-nom-nimouse ★★
(09.03.13 11:56:31 MSK)

Ответ на: комментарий от om-nom-nimouse 09.03.13 11:56:31 MSK

Я имею в виду — обезопасить от посещения нежелательными людьми. Ведь UA можно подменить. А вот вирус бы все равно завелся…

~~Eddy_Em~~ ☆☆☆☆☆
(09.03.13 11:57:39 MSK)
Последнее исправление: Eddy_Em 09.03.13 11:58:06 MSK (всего исправлений: 1)

Ответ на: комментарий от Eddy_Em 09.03.13 11:57:39 MSK

Я имею в виду — обезопасить от посещения нежелательными людьми. Ведь UA можно подменить. А вот вирус бы все равно завелся…

Дарвин и Докинз на этом месте должны заплакать. :-)

Сделай сайт, оптимизированный под lynx. Гарантировано, заходить будут только желательные люди.

om-nom-nimouse ★★
(09.03.13 12:01:23 MSK)

Ответ на: комментарий от om-nom-nimouse 09.03.13 12:01:23 MSK

Сделай сайт, оптимизированный под lynx

Я не о том. Скажем, валяются у тебя статейки по linux. Ясен пень, ты не собираешься их показывать нелинуксоидам.

~~Eddy_Em~~ ☆☆☆☆☆
(09.03.13 12:02:36 MSK)

Ответ на: комментарий от Eddy_Em 09.03.13 12:02:36 MSK

Ясен пень, ты не собираешься их показывать нелинуксоидам.

За чито ты так нинавидишь вендузятников? За то что они такие прастые луди, и поэтому они такая льогкая добыча?! © «Красная жара»

Плюс ко всему, когда средний вендузятник видит сайт, оптимизированный под lynx, он начинает плеваться и закрывает вкладку с сайтом. PROFIT!

om-nom-nimouse ★★
(09.03.13 12:06:06 MSK)

Про гусей и циклический ноль тут уже говорили?

~~Ttt~~ ☆☆☆☆☆
(09.03.13 12:08:33 MSK)

Ссылка

Ответ на: комментарий от om-nom-nimouse 09.03.13 12:06:06 MSK

А если его туда гугол выведет?

// а вообще — шучу я. Но все-таки, рабочий метод внедрения вирья через сайты надо иметь — вдруг пригодится?

~~Eddy_Em~~ ☆☆☆☆☆
(09.03.13 12:11:14 MSK)
Последнее исправление: Eddy_Em 09.03.13 12:11:55 MSK (всего исправлений: 1)

Ответ на: комментарий от Eddy_Em 09.03.13 12:02:36 MSK

Скажем, валяются у тебя статейки по linux. Ясен пень, ты не собираешься их показывать нелинуксоидам.

Сфигали? А если человек решил изучить сабж?

Axon ★★★★★
(09.03.13 14:55:37 MSK)

Ссылка

Ответ на: комментарий от Eddy_Em 09.03.13 12:11:14 MSK

Но все-таки, рабочий метод внедрения вирья через сайты надо иметь — вдруг пригодится?

Не переживай, у тебя денег на него не хватит.

tazhate ★★★★★
(09.03.13 15:00:07 MSK)

Ответ на: комментарий от Eddy_Em 09.03.13 11:57:39 MSK

Я имею в виду — обезопасить от посещения нежелательными людьми. Ведь UA можно подменить
нежелательными людьми

wut? Если вы о ОС у пользователя, то стоит вспомнить, что многие пользователи линукса видят его исключительно через putty.exe. По IP легко банит Cloudflare(+ у них на сайте есть удобный помощник по работе с блэклистом, учитывающий попытки взлома/dos'а других сайтов)

Deleted
(09.03.13 15:09:12 MSK)