Jump to content
Калькуляторы

Что будет, если не реагировать на abuse

Предположим, что есть организация, предположим это районная больница, которая имеет свою AS, и свои IP-адреса. Теперь предположим, что какой нибудь сотрудник создал фишинговый сайт, и в результате на его ip-адрес станут приходить жалобы на этот сайт.

Но, что будет если администрация учреждения а также noc будут игнорировать эти абузы? Какие возможны последствия для учреждения, если они игнорируют abuse?

Share this post


Link to post
Share on other sites

в спамхаус залетите и им подобные и почте йок.

Share this post


Link to post
Share on other sites

:) Натягивание совы на глобус :) У всех регистраторов, хоть и райп хоть и днс, указывается емайл для контактов с админом ресурса. И явно это не емайл руководителя. Абузеры шлют емайлы именно на эти контакты. А так - гипотетическая больница сумела за гипотетические деньги оплатить покупку AS и продлять спонсорские контакты, видимо из гипотетического бюджета минздрава или местных минздравов. Ну, как говорил Станиславский :) Про спамхаус и прочие сони энтертайнмент - можно смело игнорировать. Пусть в суды в РФ подают, как у нас положено. Вступать в переписку - не советую.

Share this post


Link to post
Share on other sites

А могут ли из за этого от учереждения аплинки отказаться?

Share this post


Link to post
Share on other sites

Могут. Спамхаус та еще сволочь и могут создать вполне приличный геморрой даже жирным тирванам.

А как это будет происходить?

Share this post


Link to post
Share on other sites

Что "это"? Как аплинк отвалится? Да сошлется на "ненадлежащую эксплуатацию оборудования заказчика, создающую угрозу нормальному функционированию бла-бла-бла"

В результате адммину больницы понадобится помощь проктолога:))

Share this post


Link to post
Share on other sites

Хуже. Не читая абузы можно пропустить момент, когда с вашего адреса начнут писать нигерийские письма, а потом прийдут силовики и вынесут всё, в рамках дела.

Share this post


Link to post
Share on other sites

Хуже. Не читая абузы можно пропустить момент, когда с вашего адреса начнут писать нигерийские письма, а потом прийдут силовики и вынесут всё, в рамках дела.

Но, бордер я думаю, изымать не будут.

Share this post


Link to post
Share on other sites

Все что будет в стойках - все и изымут. Вы думаете маски-шоу разбираются в ваших там бордерах?

Share this post


Link to post
Share on other sites

Все что будет в стойках - все и изымут. Вы думаете маски-шоу разбираются в ваших там бордерах?

Бордер всего навсиго маршрутизирует трафик. На нём ничего не сохраняется.

Share this post


Link to post
Share on other sites

А возможные следы взлома? А настройки?

А как они взломают бордер?

Share this post


Link to post
Share on other sites

Изымают все электроприборы вплоть до настольных ламп. Типа "экспертиза разберется".

А зачем всё изымать? Достаточно одного жёсткого диска.

Share this post


Link to post
Share on other sites

Для чистоты мероприятий.

А если сервер был взломан, то могут его уничтожить.

 

А в Европе как изымают?

Share this post


Link to post
Share on other sites

Странная тема. Всё на самом деле намного проще

 

В первую очередь, нужно в обратной зоне делать записи типа IP.dynamic.nat.pppoe.dhcp.muhosransk-telecom.com - с таким PTR 99.9% почтовый серверов будут дропнуты сразу же, на абузы для таких IP можно сразу положить болт

 

Для абонентов, которые держут почтовые - у них как правило сеть белых IP, нужно сделать abuse-mailbox в райпе и пусть их админ с этим разбирается, ну себя можно в копию.

 

Проблема в том, что в спам-лист может попасть /24 и тогда другие ваши абоненты придут к вам с жалобой

 

В целом, если вы провайдер в РФ, то абузы можно смело игнорить, тем более что юридически они ничтожны, да и технически - вы же не пишите весь трафик и когда приходит абуза от какого-нито Васяна - как вы проверите, что его одноклассник действительно ддосил его "сервачок"

Share this post


Link to post
Share on other sites

Для чистоты мероприятий.

А если сервер был взломан, то могут его уничтожить.

 

А в Европе как изымают?

Бордеры тоже взламывают. И умысел может быть именно на бордере, если его не изьять - следствие может зайти в тупик.

А т.к. абузы игнорировали, т.е. уведомление было, и все положили на это болт(и возможно намеренно) - то не только бордер изымут, но и использованные бумажки из туалета всех причастных.

В Европе тоже изымают, если дело серьезное и требует этого.

Share this post


Link to post
Share on other sites

Бордеры тоже взламывают. И умысел может быть именно на бордере, если его не изьять - следствие может зайти в тупик.

 

Ну что они найдут на аппаратном бордюре ? Моя брокада просто не хранит много логов, да и сбрасывает их при ребуте.

Читать абузы - читаю, принимаю адекватные меры, но ни в какие переписки с абузерами не вступаю. Нормальный абуз содержит всю необходимую мне информацию, а то, что шлет эшелон или сони - полный маразм, особенно письма от сони :) Кто-то некто пытался по https залогиниться на один из кучи их адресов.

Share this post


Link to post
Share on other sites

Они иногда еще и звонят и пытаются общаться на английском. У меня давно быт такой случай: У клиента на белом ip(на сервере с OS/2) висела какая то фишинговая гадость(web). Сначала слали на абузу с просьбой разобраться. Я игнорил. После того как позвонили пришлось пнуть клиента чтобы убрал.

Share this post


Link to post
Share on other sites

Клиента, если он неправ - непременно предупреждаю. Неадекватам - кой-что в файерволле зарезаю, с предупреждением естественно. Абузерам - ок - решено, не более.

Share this post


Link to post
Share on other sites

Бордеры тоже взламывают. И умысел может быть именно на бордере, если его не изьять - следствие может зайти в тупик.

 

Ну что они найдут на аппаратном бордюре ? Моя брокада просто не хранит много логов, да и сбрасывает их при ребуте.

Читать абузы - читаю, принимаю адекватные меры, но ни в какие переписки с абузерами не вступаю. Нормальный абуз содержит всю необходимую мне информацию, а то, что шлет эшелон или сони - полный маразм, особенно письма от сони :) Кто-то некто пытался по https залогиниться на один из кучи их адресов.

Ок. Теоретический пример:

 

Обвинитель - блаблабла негодяй, обманул потерпевшего и выманил у него офигилиард денег, протоколы SMTP подтверждают, что рассылка велась через SMTP релей блаблабла, и отправитель также был из внутренней сети блаблабла

Защита(зная что бордер не изымали, уже все подчистила и подготовила чтоб выглядело достоверно) - причиной был взлом бордера и настройка firewallа, в виде port remapping, которая позволила релеить внешним силам через бордер, и т.к. он делал нат конкретно для этого редиректа - то на SMTP адресе был виден только адрес заначенный на бордере

Обвинитель - %^&%^&! где этот сраный бордер? почему не изьяли?

Share this post


Link to post
Share on other sites

Все что будет в стойках - все и изымут. Вы думаете маски-шоу разбираются в ваших там бордерах?

Бордер всего навсиго маршрутизирует трафик. На нём ничего не сохраняется.

Именно это и пришлось полдня доказывать Тимуру, когда к нему в Ринет нагрянули маски-шоу по делу о распространителе ЦП в его сети. Да, маршрутизатор был выключен всё это время.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now