我有一个在菲律宾没有用户的 Web 应用程序,但它不断受到垃圾邮件发送者、测试卡的卡片者和来自那里的其他不良活动的轰炸。我可以在日志中看到他们在菲律宾拥有 IP,并且最初是通过 google.ph 或其他.ph网站找到我的网站。
我有很好的过滤器和安全检查,所以它们不会造成太大的损害,但尽管如此,我真的厌倦了。他们用尽带宽,填满我的数据库,滥用日志和安全日志,浪费我的时间来命名帐户等。
虽然绝大多数菲律宾公民不是垃圾邮件发送者,而且我不能只是阻止让我烦恼的每个国家,但在这一点上,我认为解决方案只是阻止从菲律宾到我的 web 应用程序的所有流量。(我知道封锁整个国家的 IP 封锁不是一个好习惯,而且有很多问题,但对于这个国家,我想破例。)
(我知道他们可以欺骗他们的 IP 地址,但至少我可以让他们为它工作一点。)
我知道那里有一些 geoip 服务。有谁知道任何免费或便宜的服务?或者有什么其他方法可以过滤来自特定国家/地区的流量?
如果重要的话,我在 Apache 2 上运行 PHP。
我收到了来自 的域滥用通知电子邮件chloe-gray@icann-monitor.org。
该邮件要求下载我认为包含病毒的 Word 文档。
尊敬的域名所有者,
我们的系统检测到您的域:example.com 最近被用于发送垃圾邮件和传播恶意软件。
您可以下载您的域的详细滥用报告以及事件的日期/时间。点击这里
我们还提供了有关如何将您的域从我们的黑名单中除名的详细说明。
请立即下载报告并在 24 小时内采取适当措施,否则您的域将被永久暂停。
也有可能采取法律行动,这取决于您滥用案件的严重性和持续性。
三个简单的步骤:
- 下载您的滥用报告。
- 检查您的域滥用事件以及日期和时间。
- 采取几个简单的步骤来预防和避免域暂停。
单击此处下载您的报告
请查看并与我们联系。
我想知道我是否错过了在 ISP 端启用/配置某些东西,或者我是否在我的域中留下了一些电子邮件地址,因为这些垃圾邮件发送者也将我作为目标。
有没有办法保护/配置我的域以避免这些电子邮件?
我正在建立一家小型企业,为利基市场提供互联网服务。我们将提供完全不受限制和不受监控的(在法律允许的范围内 - 虽然我们宁愿不这样做,但如果有正当理由,我们仍然可以捕获数据包)互联网访问,我不确定我们应该如何应对滥用报告(Google 搜索未找到任何相关内容)。
假设我收到一封来自我们客户 IP 的关于 SSH 暴力破解的电子邮件。我如何判断它是否是真实的而不是巨魔(日志条目甚至 .pcaps 都可以伪造)?大型 ISP 如何做到这一点(对于那些真正关心滥用报告的人)?
同样,关于垃圾邮件的投诉,我如何在对它们采取行动之前检查它们是否真实?这甚至是一个问题吗?是否有过巨魔会报告某人涉嫌做坏事,希望让他们与他们的提供者陷入困境的情况?
我是否注定要记录离开我的网络的每个数据包,或者是否有一个不会走极端的行业标准解决方案?
问候。
我正在运行一个小型(基于 Windows)的服务器。当我检查日志时,我看到源源不断的(不成功的)密码猜测黑客尝试。我应该尝试向源 IP 地址的所有者报告这些尝试,还是现在这些尝试被认为是完全正常的,无论如何没有人会费心做任何事情?
今天我注意到 Apache 网络服务器上异常高的请求率以及相当高的传入网络流量。在检查 Apache 的 mod_status 页面后,我发现有问题的 URL 来自 path www.server.com/www/wp-includes/js/tinymce/plugins/wpautoresize/。事实上,我在那里发现了几个被黑(混淆)的 PHP 脚本。
还注意到 www-data 用户执行的奇怪过程:
www-data 7300 10.8 0.1 2122900 18768 ? Ssl Jul11 121:47 /usr/bin/host
检查/proc/7300/cmdline发现这确实是原始/usr/bin/host二进制文件。netstat -anp显示它打开了许多 HTTP 连接,因此该二进制文件以某种方式被滥用。debsums确认二进制校验和没有问题。由于该过程是在 www-data 用户下运行的,我没有理由相信服务器本身受到了威胁。
这个二进制文件是如何被滥用的?
编辑:这不是广泛的“如何处理受损服务器”问题。而是关于一种特定类型的滥用的问题(并且已经是一个答案),它在技术上是如何完成的,因为这个特殊案例在它的工作方式上非常有创意。似乎这已经流行了好几年了(旧线程和 2012 年的问题),我本周遇到了它。
所以我收到了对我的一台运行 Debian 6.0 的专用服务器的滥用投诉
果然,有时会无缘无故地top显示/usr/bin/host使用大量 CPU,而 netstat 显示进程host执行了大量 HTTP 请求。
过了一会儿,我的系统日志甚至说nf_conntrack: table full, dropping packet.,我认为这与此事有关。
我已经/usr/bin/host使用 debsums验证了可执行文件,并且似乎也很好。服务器本身也是 100% 更新的。
所以我猜测有什么东西在以某种方式调用我的host可执行文件并强制它为某些 DDoS 执行 HTTP 请求。
我当然可以简单地编写一个脚本来host在发生这种情况时立即将其杀死,但我真的很想知道问题的根源。
我正在检查 Apache 日志中host是否有开始执行请求时有趣的条目,但还没有找到任何内容。
任何人都对其他事情有什么建议?我怎样才能看到谁和什么叫做“主机”?谷歌/usr/bin/host根本没有显示任何被滥用的例子!
我是一群虚拟化网络服务器的初学者系统管理员。最近,我们收到一封电子邮件,称我们的一台服务器正被用于“暴力”攻击。该电子邮件的内容类似于以下内容。
问候,
/somehost/ 滥用团队想通知您,我们已经从您的网络、IP 地址 /my 对共享托管服务器 /somehost/.ru /ip-number/ 上的 Joomla/WordPress 控制面板进行了大规模暴力尝试-IP地址/
在过去 30 分钟内,我们记录了 1500 次尝试,如下所示:
/my-ip-address/ /他们的域名/ - [12/Jan/2014:13:29:05 +0400]“POST /wp-login.php HTTP/1.0”200 3170“-”“-”
/my-ip-address/ /他们的域名/ - [12/Jan/2014:13:29:05 +0400]“POST /wp-login.php HTTP/1.0”200 3170“-”“-”
/my-ip-address/ /他们的域名/ - [12/Jan/2014:13:29:05 +0400]“POST /wp-login.php HTTP/1.0”200 3170“-”“-”
/my-ip-address/ /他们的域名/ - [12/Jan/2014:13:29:06 +0400]“POST /wp-login.php HTTP/1.0”200 3170“-”“-”
/my-ip-address/ /他们的域名/ - [12/Jan/2014:13:29:06 +0400]“POST /wp-login.php HTTP/1.0”200 3170“-”“-”
先前在此服务器 (/some-host/.ru)[/their-ip/] 记录的此尝试总数:
====
此消息由 /some-company-name/ 安全系统自动发送。您从公共 WhoIs 服务获得的电子邮件地址。如果您误收到此消息,我们深表歉意。如果您的电子邮件与该 IP 地址或网络无关,请联系我们。
====
谢谢你,/somehost/滥用团队
http:///somehost/ 点ru
/俄罗斯的一些电话号码/,
/更多俄罗斯联系方式/
我觉得很奇怪,他们写“Joomla/Wordpress”,而在他们的日志中可以明显看到“wp-login.php”是来自 WordPress 的 PHP 脚本。 …
假设我正在经营一项公共服务。一般来说,人们会表现得很好,但偶尔也会有人不表现,知道你从谁那里得到祝福通常是件好事。
因此,假设
扔掉 IPv6 地址的最后 64 位,只跟踪前 64 位是个好主意吗?
如果您想跟踪一个 IP 地址,因为该 IP 地址是攻击和滥用的来源,您将如何实现?有什么办法可以找到谁在使用给定的 IP 地址,而且有什么办法可以阻止它吗?
更新:目的地(服务器所在的位置)在美国。消息来源表明它也是美国,但就像有人建议的那样,IP 地址可能是欺骗性的......我仍然愿意接受进一步的输入/细节......
谢谢,
弗兰克
我在一家服务提供商工作,我们遭受了攻击。我们从中吸取了教训,但我们为此付出了代价。好消息是我们有事件的 pcap 跟踪和 IP 地址。
现在我的问题是,一个人如何向另一个提供者发送一封好的滥用邮件?
情况变得复杂,因为涉及金钱,而另一个提供商是另一个国家的普通 ISP,为私人提供服务。我们很想看到我们的钱回来,但有没有人成功地做到了这一点?
我们有一些内容是“有争议的”。滥用我们内容的网站由 Cloudflare 托管。我担心我需要知道托管内容的服务器的 IP 地址才能发出 DMCA 删除。DMCA 是否允许某种类型的代理内容?我是否必须知道托管内容的真实服务器的 IP 地址?
我刚刚收到来自我的托管服务的滥用投诉:
[2014-04-04 03:30:23 CET] [时间戳:1396575024] [11717182.634230] 防火墙:UDP_IN 被阻止IN=eth0 OUT= SRC=我的 IP DST=128.204.203.200REN=128.204.203.200SEN=7xTTL00REC=7 118 ID=6181 DF PROTO=UDP SPT=53 DPT=52117 LEN=50
我应该如何解决这个问题?