[Mechanic]

Сыпятся abuse о спаме с отдельных абон адресов, работа с клиентами ведется, но не все клиенты вменяемы

С одним долбаемся уже несколько дней, комм саппорта:

Абонента оповестили пользуется только планшетами, предложили поменять пароль на роутере, абон отказался, проверять ничего не хочет

а вот запрос

"Clusters Abuse Dept."

Note: Local timezone is +0100 (CET)

 

Mar 1 04:30:02 xxx sshd[13916]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.16.95.9 user=root

Mar 1 04:30:03 xxx sshd[13916]: Failed password for root from x.x.x.9 port 34438 ssh2

Mar 1 04:30:05 xxx sshd[13916]: Failed password for root from x.x.x.9 port 34438 ssh2

Mar 1 04:30:07 xxx sshd[13916]: Failed password for root from x.x.x.9 port 34438 ssh2

Mar 1 04:30:10 xxx sshd[13916]: Failed password for root from x.x.x.9 port 34438 ssh2

Mar 1 04:30:12 xxx sshd[13916]: Failed password for root from x.x.x.9 port 34438 ssh2

те идет явный перебор паролей

можно конечно приостановить доступ в инет, но как то сделать корректно ?

[Tem]

Закройте ему ссш на выход

[Mechanic]

Закройте ему ссш на выход

ну этому можно, но каждого руками не будешь отлавливать

[satboy]

Закройте всем. Открывать по галочке из личного кабинета.

[pashashtepa]

Как хошь закрывай токо за базар отвечай

ПО закону правил оказания тел.услуг

69. Абонент и (или) пользователь несут ответственность перед оператором связи в следующих случаях:

а) неоплата, неполная или несвоевременная оплата телематических услуг связи;

б) нарушение правил эксплуатации пользовательского (оконечного) оборудования и (или) абонентского терминала;

в) нарушение запрета на подключение пользовательского (оконечного) оборудования, не соответствующего установленным требованиям;

г) совершение действий, приводящих к нарушению функционирования средств связи и сети связи оператора связи.

70. В случаях, указанных в подпунктах "б" - "г" пункта 69 настоящих Правил, оператор связи вправе обратиться в суд с иском о возмещении убытков, причиненных такими действиями абонента и (или) пользователя.

[Mechanic]

по закону и правилам все ясно как поступить- нужно просто вырубить, интересует как вырубить лояльно :)

посмотрел трафик конкретного человека- явно что- то заражено, тк на 22 и 23 порты сяпит траф на разные хосты, ему позвонили, но лояльно он не хочет нечего делать

вот думаю- на стоп страницу вывалить его и заблокировать инет?!

[pashashtepa]

ограничить полосу трафика на 36.6кб/с. Чтобы и шевеление со стороны абонента пошло.

[stas_k]

Сыпятся abuse о спаме с отдельных абон адресов, работа с клиентами ведется, но не все клиенты вменяемы

Для начала, не все авторы abuse вменяемы.

 

Бань исходящий ip ssh на подсети авторов abuse.

 

 

 

Как хошь закрывай токо за базар отвечай

ПО закону правил оказания тел.услуг

г) совершение действий, приводящих к нарушению функционирования средств связи и сети связи оператора связи.

 

И что же ты тут усмотрел такого, "нарушающего функционирование средств связи и сети связи оператора связи"?

То что абонент ip пакеты шлет?

Твоя сеть из веревок и палок не справляется с обработкой ip пакетов?

[svcons]

Мы всем своим клиентам советуем включать в абонентский договор обязанность абонента по выявлению и устранению вирусов и других вредоносных программ и право оператора приостановить оказание услуг в случае выявления воздействия вирусов, вредоносных программ и иных воздействий от абонентского оборудования, приводящих к нарушению функционирования сете и средств связи оператора.

 

Если такие условия договором предусмотрены, то оператор имеет право в соответствии с договором и п.47 Правил оказания телематических услуг связи приостановить оказание услуг до устранения нарушения, письменно уведомив об этом абонента. Если нарушение за 6 месяцев не будет устранено, можно расторгнуть договор.

 

Если в договоре таких условий нет, то можно на основании п.27 Правил ограничить возможность осуществление действия, влекущих угрозу нормальному функционированию сети связи. Например сильно ограничить пропускную способность (мягкий вариант) или полностью отключить (вариант жесткий и если возникнет спор его надо будет обосновать). Абоненту надо направить уведомление.

[kirill bezrukavnikov]

если у вас правильный договор с абонентом - то просто рубите порт с телефонным уведомлением за что срубили ему порт.. например как тут http://chgnet.ru/prilozhenie2013.htm абонент рассылает спам/долбится вирьем в сетку - рубится порт и абон сам приползает в саппорт и кланяется в ножки. далее по обстоятельствам.

 

особо упорных говорунов - больше не включают ибо расторгается договор.

[VolanD666]

Пагадите, получается он к вам долбится, на ваш сервер?

[stas_k]

абонент рассылает спам/долбится вирьем в сетку - рубится порт и абон сам приползает в

...приползает в суд.

 

Потому что это не спам, а вполне нормальная почтовая рассылка.

Не "вирье", а вполне нормальная программа ломится на свои сервера.

 

Почему каким то неизвестным анонимным ***ам джентельменам модной сексуальной ориентации, вы верите на слово и сразу начинаете подовлять своих абонентов. Абонентов с которыми знакомы, с которыми у вас заключен договор, и перед которыми у вас есть соответствующие ОБЯЗАТЕЛЬСТВА?

 

Как только мой провайдер решит что меня по анонимной кляузе надо заблокировать за ssh или ntp, я мгновенно, не раздумывая, уйду к другому. И письмо в прокуратуру.

[pashashtepa]

Превентивная мера. Ладно у абонента физика у нас номер просто так юрику блокирнули из-за подозрительного трафика. У Билайна сработала система антифродинга и подозрительному номеру было запрещено в его сети существовать.

Был бы человек, а статья найдется.

У меньшение полосы при включении компа свируснёй можно обосновать абоненту от вас прёт трафик проблема на вашей стороне. Тогда лояльно зашевелить булочками.

[stas_k]

У меньшение полосы при включении компа свируснёй можно обосновать абоненту от вас прёт трафик проблема на вашей стороне.

Еще раз повторяю - у вас с абонентом договор услуг связи, передачи данных. Трафик ДОЛЖЕН переть.

Ты подписался именно на это.

Не на то что по проводам идет свет, газ, вода. А на то что по проводам ПРЕТ ТРАФИК. голосовой, телематика, данные.

В этом смысл.

 

Если трафик не прет, находится другой провайдер, через которого трафик прёт.

 

Сейчас получается что какой то аноним джентельмен, белый человек, полубог, вводит в твоей компании внешнее колониальное управление.

По первому же анонимному письму ты безоговорочно бросился угнетать своих соплеменников. Вообще не раздумывая.

Свой брат виноват однозначно. Боги не могут ошибаться. Боги не могут желать зла. Приказы высших существ не обсуждаются.

 

Анноит этого джентельмена трафик от твоих абонентов - забань самого джентельмена. Пусть от этого абонента (а лучше от всех) к нему в AS вообще никакой трафик не ходит. Пусть этот джентельмен спит спокойно.

[pashashtepa]

Абоненты разные ситуации разные, поэтому согласен подход ни везде, но применим.

Сам такой абонент - могу оперу указывать чё зя, а что низя. Это ограничение есчо стерпел б со своей позиции. Не поленился и постарался б аваст или зонтик поставить.

[No_name]

Я тоже считаю, что раз выпустил в паблик сервис с ssh, да и вообще любой сервис, то подумай сам о своей безопасности,

а не ной в абузу, что, мол, сканируют. А если это не публичный сервис, то ССЗБ.

Хм, а может это клиент забыл пароль от сервиса и перебирает(не, ну а че)?

 

Да и что далеко ходить. Ни раз замечалось что у яндекса, например, что у авито,

заставляли вводить капчу для дальнейшей работы, видите ли слишком много запросов с вашего ip. В хайлоаде это уже так принято?

Не понимаю я этого, пока что.

 

С другой стороны DDOS, спам, но это другая тема, не относящаяся к...

Изменено 1 марта, 2017 пользователем Brainiac

[MMM]

Бесплатная опция "Защита", зафильтровать по максимуму. Показать галочку в личном кабинете и "Включить" всем по умолчанию. Предупредить за месяц до реального включения, чтобы кому нужно, успели отключить.

[kirill bezrukavnikov]

 

...приползает в суд.

 

Потому что это не спам, а вполне нормальная почтовая рассылка.

Не "вирье", а вполне нормальная программа ломится на свои сервера.

 

Почему каким то неизвестным анонимным ***ам джентельменам модной сексуальной ориентации, вы верите на слово и сразу начинаете подовлять своих абонентов. Абонентов с которыми знакомы, с которыми у вас заключен договор, и перед которыми у вас есть соответствующие ОБЯЗАТЕЛЬСТВА?

 

Как только мой провайдер решит что меня по анонимной кляузе надо заблокировать за ssh или ntp, я мгновенно, не раздумывая, уйду к другому. И письмо в прокуратуру.

 

 

как только туловище дойдет до суда - ему там впаяют много статей... потомучто ссзб. массовая рассылка почты(спам) есть наказуемое деяние. вмешательство в работу сетей - то же самое. это раз. да и не пойдет никто в суд... ну сменит товарищ провайдера, да и чорт с ним :) гиков/неадекватов везде полно. у нас в городке таких товарищей все провайдеры отправляют изучать основы пользования мобильным инетом.

Изменено 1 марта, 2017 пользователем kirill bezrukavnikov

[stas_k]

Бесплатная опция "Защита", зафильтровать по максимуму.

 

Защита КОГО от чего?

 

Почему ты безоговорочно, по первой жалобе, начинаешь защищать какого то вообще на прочь постороннего ***а модного джентельмена, от абонента, который приносит тебе деньги, и с которым ты заключил договор, и обязался его, абонента, трафик, доставлять?

при чем тут модный джентельмен? почему он тебе указывает что делать? почему ты бежишь в прирпрыжку выполнять распоряжения ***а модного джентельмена?

у тебя с ***ом модным джентельменом договор о защите?

 

 

как только туловище дойдет до суда - ему там впаяют много статей... потомучто ссзб. массовая рассылка почты(спам) есть наказуемое деяние. вмешательство в работу сетей - то же самое. это раз. да и не пойдет никто в суд... ну сменит товарищ провайдера, да и чорт с ним :) гиков/неадекватов везде полно. у нас в городке таких товарищей все провайдеры отправляют изучать основы пользования мобильным инетом.

С чего вдруг ему "впаяют"?

 

Про вмешательство сетей, не надо смешить, уже сказано - передача любых данных (объемом/на скорости в рамках тарифа) не является вмешательством в работу сети оператора, но строго соответствует договору, который ты, как оператор, обязан исполнять.

 

Ты бы еще телефонный разговор назвал вмешательством в работу сети телефонного оператора.

 

Массовую рассылку почты нужно еще доказать.

Что считать массовой? Сколько писем в секунду допустимо? Почему?

 

И еще нужно доказать что это какой то не полезный, не легитимный трафик.

А если у абонента персональный почтовый сервер, и он всем подписчикам своего популярного сайта уведомления о новых сообщениях в темах шлет?

Ты тут решил абонента ограничить в конституционных правах?

По жалобе реднека, впервые в жизни взглянувшего в логи на сервере?

[kirill bezrukavnikov]

стас... не заставляйте меня искать рифму к вашему нику..... афтор ветки привел кусог лога в котором с 99% шансом подбирали пароль на некую железку. если эта железка собственность прова - то тому кто подбирает пароль - дорога прямо на йух из абонентов такого прова. остальное - надо рассматривать детально... ели атакуемая железяка стоит гдето в ДЦ - то саппорт дц делает все правильно - пишут в абузу/хеплдеск прова с которого атакуют нечто.

[YuryD]

Бесплатная опция "Защита", зафильтровать по максимуму. Показать галочку в личном кабинете и "Включить" всем по умолчанию. Предупредить за месяц до реального включения, чтобы кому нужно, успели отключить.

Уже предлагал, мы создаем специальный тарифный план для клиентов, деньги те-же, но фильтрованы telnet ssh и еще чего по мере необходимости. При наличии дыр у клиента, а он это замечает сразу - выедена вся его полоса и кол-во коннектов=тормоза, предлагаем перейти бесплатно на новый тариф с ограничениями. При подключении новых идиотов, думающих что видеонаблюдение онлайн решит все их проблемы, сначала предлагаем этот тариф. И только очень грамотные админы хотят реальник и без фильтров. Чаще всего такие админы - или реальные админы, или школота для торрентов и игрушек.

[stas_k]

кусог лога в котором с 99% шансом подбирали пароль на некую железку. если эта железка собственность прова - то тому кто подбирает пароль - дорога прямо на йух из абонентов такого прова.

 

предупреждения моих систем безопасности - это алерты.

абузы - всегда внешние, от кого то мне или кому то от меня.

 

Конкретно тут логи присылает какой то посторонний дядя, а не сам провайдер.

 

Сыпятся abuse о спаме с отдельных абон адресов,

 

 

ели атакуемая железяка стоит гдето в ДЦ - то саппорт дц делает все правильно - пишут в абузу/хеплдеск прова с которого атакуют нечто.

они там что, firewall настроить не умеют? им прислать man fail2ban ?

 

Да, я согласен, что подбирать пароли не хорошо.

 

Ну давай переведем вопрос в плоскость аналогии:

 

ты, (провайдер) водитель маршрутки, на одной из остановок к тебе подходит какой то человек в мятом костюме, показывает фотографию и говорит "этот человек в моей шаверменной водку из меню пьянствует".

ты берешь фото и... отказываешь пассажиру вообще в любых поездках, до любых остановок.

 

если владелец шаверменной не хочет чтобы люди у него пили водку - пусть уберет её из меню. если ему не нравится конкретно этот человек, пусть он его у себя на входе блокирует.

 

а то так дойдем до того что, по абузам провайдер будет клиентам головы отрубать.

[YuryD]

предупреждения моих систем безопасности - это алерты.

абузы - всегда внешние, от кого то мне или кому то от меня.

Вот и разница. При алертах я еще чего-нибудь хотел бы сделать, а вот абузов от хз кого - и палец о палец не почешу, неподписанные ничем - в дупу идут такие письма сразу, хоть от эшелона, хоть от сони..

[sokrat]

кусог лога в котором с 99% шансом подбирали пароль на некую железку. если эта железка собственность прова - то тому кто подбирает пароль - дорога прямо на йух из абонентов такого прова.

 

предупреждения моих систем безопасности - это алерты.

абузы - всегда внешние, от кого то мне или кому то от меня.

 

Конкретно тут логи присылает какой то посторонний дядя, а не сам провайдер.

 

Сыпятся abuse о спаме с отдельных абон адресов,

 

 

ели атакуемая железяка стоит гдето в ДЦ - то саппорт дц делает все правильно - пишут в абузу/хеплдеск прова с которого атакуют нечто.

они там что, firewall настроить не умеют? им прислать man fail2ban ?

 

Да, я согласен, что подбирать пароли не хорошо.

 

Ну давай переведем вопрос в плоскость аналогии:

 

ты, (провайдер) водитель маршрутки, на одной из остановок к тебе подходит какой то человек в мятом костюме, показывает фотографию и говорит "этот человек в моей шаверменной водку из меню пьянствует".

ты берешь фото и... отказываешь пассажиру вообще в любых поездках, до любых остановок.

 

если владелец шаверменной не хочет чтобы люди у него пили водку - пусть уберет её из меню. если ему не нравится конкретно этот человек, пусть он его у себя на входе блокирует.

 

а то так дойдем до того что, по абузам провайдер будет клиентам головы отрубать.

 

Смотреть по регистрации вполне взрослый, а чушь несешь.

если что, то клиент как в прокуратуре так и в суде шашкой сможет махать, если у него с компом все в порядке, я ведь запрошу предоставить все лицензионные программы. а так идешь лесом если что, это из судебной практики за полгода мытарств.

[YuryD]

если что, то клиент как в прокуратуре так и в суде шашкой сможет махать, если у него с компом все в порядке, я ведь запрошу предоставить все лицензионные программы.

Да для выпивания крови из клиента хватит и управления К :) Вы к ним, а уж они сумеют проверить лицензионность ПО, и даже вредоносов найдут, если им помочь логами. Главное - успеть раньше. Вам абуз на клиента, вы его предупредили, не успокоился - кашникам его с потрохами. Человек, после обьяснительных в органах, становится очень мягким и гибким.