Jump to content

Что будет, если не реагировать на abuse

ne-vlezay80

By ne-vlezay80
in У нага

 Share

Recommended Posts

ne-vlezay80

ne-vlezay80

Posted
Posted

Предположим, что есть организация, предположим это районная больница, которая имеет свою AS, и свои IP-адреса. Теперь предположим, что какой нибудь сотрудник создал фишинговый сайт, и в результате на его ip-адрес станут приходить жалобы на этот сайт.

Но, что будет если администрация учреждения а также noc будут игнорировать эти абузы? Какие возможны последствия для учреждения, если они игнорируют abuse?

YuryD

YuryD

Posted
Posted

:) Натягивание совы на глобус :) У всех регистраторов, хоть и райп хоть и днс, указывается емайл для контактов с админом ресурса. И явно это не емайл руководителя. Абузеры шлют емайлы именно на эти контакты. А так - гипотетическая больница сумела за гипотетические деньги оплатить покупку AS и продлять спонсорские контакты, видимо из гипотетического бюджета минздрава или местных минздравов. Ну, как говорил Станиславский :) Про спамхаус и прочие сони энтертайнмент - можно смело игнорировать. Пусть в суды в РФ подают, как у нас положено. Вступать в переписку - не советую.

Антон Богатов

Антон Богатов

Posted
Posted

Что "это"? Как аплинк отвалится? Да сошлется на "ненадлежащую эксплуатацию оборудования заказчика, создающую угрозу нормальному функционированию бла-бла-бла"

В результате адммину больницы понадобится помощь проктолога:))

nuclearcat

nuclearcat

Posted
Posted

Хуже. Не читая абузы можно пропустить момент, когда с вашего адреса начнут писать нигерийские письма, а потом прийдут силовики и вынесут всё, в рамках дела.

ne-vlezay80

ne-vlezay80

Posted
  • Author
Posted

Хуже. Не читая абузы можно пропустить момент, когда с вашего адреса начнут писать нигерийские письма, а потом прийдут силовики и вынесут всё, в рамках дела.

Но, бордер я думаю, изымать не будут.

ne-vlezay80

ne-vlezay80

Posted
  • Author
Posted

Все что будет в стойках - все и изымут. Вы думаете маски-шоу разбираются в ваших там бордерах?

Бордер всего навсиго маршрутизирует трафик. На нём ничего не сохраняется.

s.lobanov

s.lobanov

Posted
Posted

Странная тема. Всё на самом деле намного проще

 

В первую очередь, нужно в обратной зоне делать записи типа IP.dynamic.nat.pppoe.dhcp.muhosransk-telecom.com - с таким PTR 99.9% почтовый серверов будут дропнуты сразу же, на абузы для таких IP можно сразу положить болт

 

Для абонентов, которые держут почтовые - у них как правило сеть белых IP, нужно сделать abuse-mailbox в райпе и пусть их админ с этим разбирается, ну себя можно в копию.

 

Проблема в том, что в спам-лист может попасть /24 и тогда другие ваши абоненты придут к вам с жалобой

 

В целом, если вы провайдер в РФ, то абузы можно смело игнорить, тем более что юридически они ничтожны, да и технически - вы же не пишите весь трафик и когда приходит абуза от какого-нито Васяна - как вы проверите, что его одноклассник действительно ддосил его "сервачок"

nuclearcat

nuclearcat

Posted
Posted

Для чистоты мероприятий.

А если сервер был взломан, то могут его уничтожить.

 

А в Европе как изымают?

Бордеры тоже взламывают. И умысел может быть именно на бордере, если его не изьять - следствие может зайти в тупик.

А т.к. абузы игнорировали, т.е. уведомление было, и все положили на это болт(и возможно намеренно) - то не только бордер изымут, но и использованные бумажки из туалета всех причастных.

В Европе тоже изымают, если дело серьезное и требует этого.

YuryD

YuryD

Posted
Posted

Бордеры тоже взламывают. И умысел может быть именно на бордере, если его не изьять - следствие может зайти в тупик.

 

Ну что они найдут на аппаратном бордюре ? Моя брокада просто не хранит много логов, да и сбрасывает их при ребуте.

Читать абузы - читаю, принимаю адекватные меры, но ни в какие переписки с абузерами не вступаю. Нормальный абуз содержит всю необходимую мне информацию, а то, что шлет эшелон или сони - полный маразм, особенно письма от сони :) Кто-то некто пытался по https залогиниться на один из кучи их адресов.

adron2

adron2

Posted
Posted

Они иногда еще и звонят и пытаются общаться на английском. У меня давно быт такой случай: У клиента на белом ip(на сервере с OS/2) висела какая то фишинговая гадость(web). Сначала слали на абузу с просьбой разобраться. Я игнорил. После того как позвонили пришлось пнуть клиента чтобы убрал.

YuryD

YuryD

Posted
Posted

Клиента, если он неправ - непременно предупреждаю. Неадекватам - кой-что в файерволле зарезаю, с предупреждением естественно. Абузерам - ок - решено, не более.

nuclearcat

nuclearcat

Posted
Posted

Бордеры тоже взламывают. И умысел может быть именно на бордере, если его не изьять - следствие может зайти в тупик.

 

Ну что они найдут на аппаратном бордюре ? Моя брокада просто не хранит много логов, да и сбрасывает их при ребуте.

Читать абузы - читаю, принимаю адекватные меры, но ни в какие переписки с абузерами не вступаю. Нормальный абуз содержит всю необходимую мне информацию, а то, что шлет эшелон или сони - полный маразм, особенно письма от сони :) Кто-то некто пытался по https залогиниться на один из кучи их адресов.

Ок. Теоретический пример:

 

Обвинитель - блаблабла негодяй, обманул потерпевшего и выманил у него офигилиард денег, протоколы SMTP подтверждают, что рассылка велась через SMTP релей блаблабла, и отправитель также был из внутренней сети блаблабла

Защита(зная что бордер не изымали, уже все подчистила и подготовила чтоб выглядело достоверно) - причиной был взлом бордера и настройка firewallа, в виде port remapping, которая позволила релеить внешним силам через бордер, и т.к. он делал нат конкретно для этого редиректа - то на SMTP адресе был виден только адрес заначенный на бордере

Обвинитель - %^&%^&! где этот сраный бордер? почему не изьяли?

SpheriX

SpheriX

Posted
Posted

Все что будет в стойках - все и изымут. Вы думаете маски-шоу разбираются в ваших там бордерах?

Бордер всего навсиго маршрутизирует трафик. На нём ничего не сохраняется.

Именно это и пришлось полдня доказывать Тимуру, когда к нему в Ринет нагрянули маски-шоу по делу о распространителе ЦП в его сети. Да, маршрутизатор был выключен всё это время.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.