疑似服务器或数据漏洞并报告欺诈站点

Question

两天前，有人创建了一个与我工作的公司具有完全相同域的网站，但缺少一封信，并向许多人发送了一封邮件，说该网站上有促销活动，当您访问该网站时，您（作为专业 IT 人员）会立即将其识别为诈骗网站，但很多人无论如何都不会，因此他们会在该网站上进行交易，并且不会收到他们支付的任何费用。

所以我们切换到恐慌模式来尝试弄清楚该怎么做，而我作为 DevOps 所做的是：

1. 将网站报告给 PayPal（网站上唯一可用的付款方式），但显然关闭网站需要很长时间和许多有争议的交易。
2. 向域名注册公司举报该网站，他们合作但停止该网站需要法院或 ICANN 的法律命令。
3. 向托管公司报告了该网站，尚未回复。
4. 检查了WHOIS数据，他们复制了我们的公司信息并更改了邮政编码和电话号码中的两位数字是无效的。
5. 向迪拜当地警方报告了该网站，但阻止网站也需要大量时间和调查。
6. 向我们的客户群发送了一封电子邮件，告诉他们要注意并始终检查他们是否在我们的 HTTPS 站点上，并在他们购买时检查域名。

我主要担心的是，许多报告他们收到电子邮件的人（超过 10 个）都在我们的邮件列表中，所以我担心有人从我们的服务器中获取了一些信息，所以我：

1. 检查系统访问日志以确保没有人访问我们的 SSH。
2. 检查数据库访问日志以确保没有人尝试访问我们的数据库。
3. 检查防火墙日志以确保没有人以任何方式访问服务器。

在那之后，我的担忧转向了我们用来发送电子邮件活动的邮件软件，我们之前使用过MailChimp，我认为他们不会访问它，但现在我们使用的是Sendy，我担心他们会访问它，我查看了站点论坛，没有发现有人使用 Sendy 报告了漏洞，而且我们邮件列表中注册的许多电子邮件都报告说他们没有收到来自欺诈站点的电子邮件，所以我有点放心没有人得到我们的数据。

所以我的问题是：

1. 我还能做些什么来确保没有人知道我们的邮件列表或数据？
2. 我还能做些什么来报告甚至关闭该网站？
3. 当您怀疑未经授权访问您的服务器或数据时，是否有紧急模式列表？
4. 您如何才能防止未来发生此类事件？

Answer 1

• 问题2

看起来该域的名称服务器和实际主机是通过 ENOM, Inc. 注册的。该站点托管在 EHOST-SERVICES212.COM。尝试向 eNom 和服务器主机发送垃圾邮件报告和 DMCA 删除通知。eNom 滥用页面是http://www.enom.com/help/abusepolicy.aspx

• 问题 4：蜜糖

将一个或多个指向您控制的电子邮件地址或付款帐户的虚假帐户植入您的邮件列表和数据库。

如果您收到虚假帐户的电子邮件或收费，您可以合理地假设邮件列表或数据库已被盗用。

请参阅维基百科关于蜂蜜令牌的文章。

Answer 2

看来你到目前为止做得很好。

这里还有一些提示：

• 1 我还能做些什么来确保没有人知道我们的邮件列表或数据？

阅读应用程序日志（如果有）。

• 2 我还能做些什么来报告甚至关闭该网站？

在他们的 IP 地址上做一个 whois 并联系他们的 ISP（根据评论“让你的律师起草一封'停止和停止'类型的威胁法律诉讼的信件”）。在这种情况下，ENOM 和 DemandMedia。

whois 69.64.155.17

将诈骗者的网站报告给尽可能多的机构（mozilla、google 等）：他们可以在其应用程序中添加警告以帮助减轻骗局。

在您的网站上制作一个专门的网页来讲述这个故事。

• 3 当您怀疑未经授权访问您的服务器或数据时，是否有紧急模式列表？

请务必阅读如何处理受感染的服务器？. 这个问题有很多很好的建议，即使您的服务器确实没有受到损害。

• 4 如何防止以后发生此类事件？按照您通常的行为方式教育您的客户（例如：“我们永远不会直接发送邮件内容，而是将您链接到我们网站上的自定义页面”）