Перейти к содержимому
Калькуляторы

Что будет, если не реагировать на abuse

Предположим, что есть организация, предположим это районная больница, которая имеет свою AS, и свои IP-адреса. Теперь предположим, что какой нибудь сотрудник создал фишинговый сайт, и в результате на его ip-адрес станут приходить жалобы на этот сайт.

Но, что будет если администрация учреждения а также noc будут игнорировать эти абузы? Какие возможны последствия для учреждения, если они игнорируют abuse?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в спамхаус залетите и им подобные и почте йок.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

:) Натягивание совы на глобус :) У всех регистраторов, хоть и райп хоть и днс, указывается емайл для контактов с админом ресурса. И явно это не емайл руководителя. Абузеры шлют емайлы именно на эти контакты. А так - гипотетическая больница сумела за гипотетические деньги оплатить покупку AS и продлять спонсорские контакты, видимо из гипотетического бюджета минздрава или местных минздравов. Ну, как говорил Станиславский :) Про спамхаус и прочие сони энтертайнмент - можно смело игнорировать. Пусть в суды в РФ подают, как у нас положено. Вступать в переписку - не советую.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А могут ли из за этого от учереждения аплинки отказаться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Могут. Спамхаус та еще сволочь и могут создать вполне приличный геморрой даже жирным тирванам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Могут. Спамхаус та еще сволочь и могут создать вполне приличный геморрой даже жирным тирванам.

А как это будет происходить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что "это"? Как аплинк отвалится? Да сошлется на "ненадлежащую эксплуатацию оборудования заказчика, создающую угрозу нормальному функционированию бла-бла-бла"

В результате адммину больницы понадобится помощь проктолога:))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хуже. Не читая абузы можно пропустить момент, когда с вашего адреса начнут писать нигерийские письма, а потом прийдут силовики и вынесут всё, в рамках дела.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хуже. Не читая абузы можно пропустить момент, когда с вашего адреса начнут писать нигерийские письма, а потом прийдут силовики и вынесут всё, в рамках дела.

Но, бордер я думаю, изымать не будут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все что будет в стойках - все и изымут. Вы думаете маски-шоу разбираются в ваших там бордерах?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все что будет в стойках - все и изымут. Вы думаете маски-шоу разбираются в ваших там бордерах?

Бордер всего навсиго маршрутизирует трафик. На нём ничего не сохраняется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А возможные следы взлома? А настройки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А возможные следы взлома? А настройки?

А как они взломают бордер?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Изымают все электроприборы вплоть до настольных ламп. Типа "экспертиза разберется".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Изымают все электроприборы вплоть до настольных ламп. Типа "экспертиза разберется".

А зачем всё изымать? Достаточно одного жёсткого диска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для чистоты мероприятий.

А если сервер был взломан, то могут его уничтожить.

 

А в Европе как изымают?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Странная тема. Всё на самом деле намного проще

 

В первую очередь, нужно в обратной зоне делать записи типа IP.dynamic.nat.pppoe.dhcp.muhosransk-telecom.com - с таким PTR 99.9% почтовый серверов будут дропнуты сразу же, на абузы для таких IP можно сразу положить болт

 

Для абонентов, которые держут почтовые - у них как правило сеть белых IP, нужно сделать abuse-mailbox в райпе и пусть их админ с этим разбирается, ну себя можно в копию.

 

Проблема в том, что в спам-лист может попасть /24 и тогда другие ваши абоненты придут к вам с жалобой

 

В целом, если вы провайдер в РФ, то абузы можно смело игнорить, тем более что юридически они ничтожны, да и технически - вы же не пишите весь трафик и когда приходит абуза от какого-нито Васяна - как вы проверите, что его одноклассник действительно ддосил его "сервачок"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вы же не пишите весь трафик
это временно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для чистоты мероприятий.

А если сервер был взломан, то могут его уничтожить.

 

А в Европе как изымают?

Бордеры тоже взламывают. И умысел может быть именно на бордере, если его не изьять - следствие может зайти в тупик.

А т.к. абузы игнорировали, т.е. уведомление было, и все положили на это болт(и возможно намеренно) - то не только бордер изымут, но и использованные бумажки из туалета всех причастных.

В Европе тоже изымают, если дело серьезное и требует этого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Бордеры тоже взламывают. И умысел может быть именно на бордере, если его не изьять - следствие может зайти в тупик.

 

Ну что они найдут на аппаратном бордюре ? Моя брокада просто не хранит много логов, да и сбрасывает их при ребуте.

Читать абузы - читаю, принимаю адекватные меры, но ни в какие переписки с абузерами не вступаю. Нормальный абуз содержит всю необходимую мне информацию, а то, что шлет эшелон или сони - полный маразм, особенно письма от сони :) Кто-то некто пытался по https залогиниться на один из кучи их адресов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Они иногда еще и звонят и пытаются общаться на английском. У меня давно быт такой случай: У клиента на белом ip(на сервере с OS/2) висела какая то фишинговая гадость(web). Сначала слали на абузу с просьбой разобраться. Я игнорил. После того как позвонили пришлось пнуть клиента чтобы убрал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Клиента, если он неправ - непременно предупреждаю. Неадекватам - кой-что в файерволле зарезаю, с предупреждением естественно. Абузерам - ок - решено, не более.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Бордеры тоже взламывают. И умысел может быть именно на бордере, если его не изьять - следствие может зайти в тупик.

 

Ну что они найдут на аппаратном бордюре ? Моя брокада просто не хранит много логов, да и сбрасывает их при ребуте.

Читать абузы - читаю, принимаю адекватные меры, но ни в какие переписки с абузерами не вступаю. Нормальный абуз содержит всю необходимую мне информацию, а то, что шлет эшелон или сони - полный маразм, особенно письма от сони :) Кто-то некто пытался по https залогиниться на один из кучи их адресов.

Ок. Теоретический пример:

 

Обвинитель - блаблабла негодяй, обманул потерпевшего и выманил у него офигилиард денег, протоколы SMTP подтверждают, что рассылка велась через SMTP релей блаблабла, и отправитель также был из внутренней сети блаблабла

Защита(зная что бордер не изымали, уже все подчистила и подготовила чтоб выглядело достоверно) - причиной был взлом бордера и настройка firewallа, в виде port remapping, которая позволила релеить внешним силам через бордер, и т.к. он делал нат конкретно для этого редиректа - то на SMTP адресе был виден только адрес заначенный на бордере

Обвинитель - %^&%^&! где этот сраный бордер? почему не изьяли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все что будет в стойках - все и изымут. Вы думаете маски-шоу разбираются в ваших там бордерах?

Бордер всего навсиго маршрутизирует трафик. На нём ничего не сохраняется.

Именно это и пришлось полдня доказывать Тимуру, когда к нему в Ринет нагрянули маски-шоу по делу о распространителе ЦП в его сети. Да, маршрутизатор был выключен всё это время.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.