标签: phishing

我最近收到了来自 Google 网站管理员工具的以下消息：

尊敬的http://gotgenes.com/网站所有者或网站管理员，

[...]

以下是您网站上的一个或多个示例 URL，它们可能是网络钓鱼攻击的一部分：

http://repair.gotgenes.com/~elmsa/.your-account.php

[...]

我不明白的是，我从来没有一个子域 repair.gotgenes.com，但是在网络浏览器中访问它会给出一个实际的 My DNS is FreeDNS，它没有列出修复子域。我的域名已在 GoDaddy 注册，名称服务器已正确设置为 NS1.AFRAID.ORG、NS2.AFRAID.ORG、NS3.AFRAID.ORG 和 NS4.AFRAID.ORG。

我有以下问题：

1. repair.gotgenes.com 实际注册在哪里？
2. 它是如何注册的？
3. 我可以采取什么措施将其从 DNS 中删除？
4. 我如何才能防止将来发生这种情况？

这非常令人不安；我感觉我的域名被劫持了。任何帮助将非常感激。

两天前，有人创建了一个与我工作的公司具有完全相同域的网站，但缺少一封信，并向许多人发送了一封邮件，说该网站上有促销活动，当您访问该网站时，您（作为专业 IT 人员）会立即将其识别为诈骗网站，但很多人无论如何都不会，因此他们会在该网站上进行交易，并且不会收到他们支付的任何费用。

所以我们切换到恐慌模式来尝试弄清楚该怎么做，而我作为 DevOps 所做的是：

1. 将网站报告给 PayPal（网站上唯一可用的付款方式），但显然关闭网站需要很长时间和许多有争议的交易。
2. 向域名注册公司举报该网站，他们合作但停止该网站需要法院或 ICANN 的法律命令。
3. 向托管公司报告了该网站，尚未回复。
4. 检查了WHOIS数据，他们复制了我们的公司信息并更改了邮政编码和电话号码中的两位数字是无效的。
5. 向迪拜当地警方报告了该网站，但阻止网站也需要大量时间和调查。
6. 向我们的客户群发送了一封电子邮件，告诉他们要注意并始终检查他们是否在我们的 HTTPS 站点上，并在他们购买时检查域名。

我主要担心的是，许多报告他们收到电子邮件的人（超过 10 个）都在我们的邮件列表中，所以我担心有人从我们的服务器中获取了一些信息，所以我：

1. 检查系统访问日志以确保没有人访问我们的 SSH。
2. 检查数据库访问日志以确保没有人尝试访问我们的数据库。
3. 检查防火墙日志以确保没有人以任何方式访问服务器。

在那之后，我的担忧转向了我们用来发送电子邮件活动的邮件软件，我们之前使用过MailChimp，我认为他们不会访问它，但现在我们使用的是Sendy，我担心他们会访问它，我查看了站点论坛，没有发现有人使用 Sendy 报告了漏洞，而且我们邮件列表中注册的许多电子邮件都报告说他们没有收到来自欺诈站点的电子邮件，所以我有点放心没有人得到我们的数据。

所以我的问题是：

1. 我还能做些什么来确保没有人知道我们的邮件列表或数据？
2. 我还能做些什么来报告甚至关闭该网站？
3. 当您怀疑未经授权访问您的服务器或数据时，是否有紧急模式列表？
4. 您如何才能防止未来发生此类事件？

我注意到我的 Ubuntu Xenial 服务器上有一些奇怪的东西。
它在默认端口上有 SSH，并且有 fail2ban。
Fail2ban 正在检测服务器上的蛮力尝试并相应地记录：

2017-01-12 10:58:19,927 fail2ban.filter    [23119]: INFO    [sshd] Found x.x.x.x
2017-01-12 11:03:27,808 fail2ban.filter    [23119]: INFO    [sshd] Found x.x.x.x
2017-01-12 11:08:37,936 fail2ban.filter    [23119]: INFO    [sshd] Found x.x.x.x
2017-01-12 11:13:51,538 fail2ban.filter    [23119]: INFO    [sshd] Found x.x.x.x
2017-01-12 11:18:57,939 fail2ban.filter    [23119]: INFO    [sshd] Found x.x.x.x
2017-01-12 11:24:10,399 fail2ban.filter    [23119]: INFO    [sshd] Found x.x.x.x
2017-01-12 11:29:23,161 fail2ban.filter    [23119]: INFO    [sshd] Found x.x.x.x
2017-01-12 11:34:34,064 fail2ban.filter    [23119]: INFO    [sshd] Found x.x.x.x
2017-01-12 11:39:44,540 fail2ban.filter    [23119]: INFO    [sshd] Found …

每次更新 SSL 证书时，我的提供商都会尝试向我出售扩展验证证书。最大的区别是 FireFox 和 Safari 中的绿色地址栏，成本是原来的四倍或五倍。

据说，好处（以及 IE8 或 Chrome 中未显示绿色条的原因）是对请求方进行更深入的身份验证。但是我可以检测到 Verisign 自己的所有 SSL 证书（第 3.2.2 节）的最低要求（来自他们的CPS）之间的实际差异很小：

威瑞信至少应：
• 通过使用至少一个第三方身份证明服务或数据库，或由适用的政府机构或主管当局签发或提交的组织文件来确定该组织的存在，以确认该组织的存在，

• 通过电话、确认邮件或类似程序向证书申请人确认有关该组织的某些信息，该组织已授权证书申请，并且代表证书申请人提交证书申请的人已被授权这样做. 当证书包含个人作为本组织授权代表的姓名时，还应确认该个人的聘用及其代表本组织行事的权力。

当证书中包含域名或电子邮件地址时，威瑞信验证组织将该域名用作完全限定域名或电子邮件域的权利。

和 EV 要求（附录 F14C）：

(C) 商业实体
为了验证商业实体的合法存在和身份，威瑞信验证该实体以申请人在申请中提交的名义从事业务。VeriSign 验证申请人的正式法定名称（由申请人注册管辖区内的注册机构认可）是否与 EV 证书请求中的申请人名称相匹配。VeriSign 会记录申请人注册管辖区内的注册机构分配给申请人的特定唯一注册号。如果注册机构没有分配注册号，则将记录申请人的注册日期。此外，根据 EV 指南第 14(b)(4) 节验证与商业实体相关的主要个人的身份。

所以：

1) EV 证书真的能激发用户更多的信任吗？

2) EV 证书真的有助于打击网络钓鱼/欺诈/供应商列出的任何事情吗？

3）如果他们实际上执行了最低要求，那不包括所有电动汽车的东西吗？我错过了什么？

如果我将 SPF 策略添加v=spf1 include:_spf.google.com -all到我的域，会-all产生一些影响还是会~all“_spf.google.com继承”到我的域？

我的网站bccfalna.com在 2 天前工作正常，但现在它无法在 Firefox/chrome 和其他浏览器中打开并出现以下错误消息

报告攻击页面！

此网页 www.bccfalna.com 已被报告为攻击页面，并已根据您的安全偏好被阻止。

那么，如何解决这个安全问题，请帮我解决它....

一天前我的网站被关闭 - 收到来自主机的消息，说他们收到了美国银行的投诉，称我的网站被用于网络钓鱼客户。我设法使我的网站上线，并在网站上发现了许多我没有放在那里的奇怪代码片段和文件。它们肯定是由黑客放置的，但现在我很害怕黑客是如何进入我的网站并将他的文件放在那里的。

我能做些什么来防止类似的事情再次发生！？！？！？

我读过很多关于钓鱼网站不会安装 SSL 证书的信息。据我所知，任何人都可以购买 SSL 证书并将其安装在他们的网站上，无论该网站是真实的还是欺诈的。在这种情况下，SSL 证书在识别网络钓鱼方面的作用是什么？