How to become an author
Search
Write a publication
Pull to refresh

Comments 16

лет 5 назад, SMTP порты сканировались со страшной скоростью, в основном с тех же китайских IP. Но, видимо, с тех пор когда публичная почта перешла преимущественно на веб-интерфейс, сканирование потеряло смысл.

This comment wasn’t rated yet0

Скорее потому, что все перешли на SMTP с авторизацией, просто так спам-атаку уже не устроить.

This comment wasn’t rated yet0

Ради развлечения я поставил также SMTP-сервер и веб-сервер, чтобы узнать, есть ли интерес к ним. И… нет.

Видимо, есть какие-то критерии, вроде засвеченности доменов в спам-базах. Долбёжку в SMTP и HTTP(S) наблюдаю постоянную и неослабевающую; страны разные, но превалируют Нидерланды (Китай заблокирован превентивно, весь и наглухо ) и почему-то Мексика (оттуда попытки взлома крайне тупые), а по "провайдерам" – Digital Ocean, Linode и Tencent. Также в последние годы значительно активизировались "белые" сканеры типа shodan.io (блоклист , вдруг кому пригодится)

Total votes 1: ↑1 and ↓0+1

У меня в веб-сервера долбятся постоянно, постоянно вижу попытки переборов паролей на всяких там /wp-admin и прочих популярных урлах от CMSок.

Total votes 2: ↑2 and ↓0+2

Идея интересная.
Завести зоопарк ботов размером с интернет.
У меня был случай, когда злоумышленники нашли уязвимость в апи сервера и долбили по ней без остановки на обед и выходные с разных адресов не взирая на результативонсть. Даже после полной блокировки всех участвующих в атаке IP атака продолжалась несколько месяцев. Никакие жалобы и обращения к провайдеру атакующих не имели никакого успеха.


Исходя из логики описанных вами процессов — а именно отсутствие реакции многих ботов на удачное инфицирование. Говорит о том что хост жертвы может заноситься в базу данных, а это в дальнейшем может привести к тому что IP машины использованный в эксперименте будет испачкан и может подвергнуться более детальному долговременному воздействию.

This comment wasn’t rated yet0

Жалобы провайдеру — это вообще интересный зверь.

В статью это не попало, но я написал в техподдержку трех провайдеров и вот что произошло:

  1. В одном (Нидерланды) меня проигнорировали. Совсем и полностью.

  2. В другом (Россия) мне сказали, что заявка зарегистрирована, уровень техподдержки: 9/5, время ответа — 48 часов. Не ответили спустя неделю.

  3. В третьем (Франция) мне отправили заглушку, что разберутся в течение 24-48 часов. И через 24 часа отправили, что от меня мало данных. Им надо мое имя (это часть формы), журнал событий/лог (отправил) и юридическое обоснование почему моя жалоба должна мотивировать их к действиям. А раз этого нет, то заявка закрывается. Раскручивать их дальше на действия я не стал, чего бороться с мельницами.

Total votes 2: ↑2 and ↓0+2

а каким провайдерам вы пишите? облачным провайдерам ? я фиксирую атаки из облаков -- DigitalOcean,1459

MS,240

Google,61

Ya,58

Akamai,13

Total votes 1: ↑1 and ↓0+1

Облачным провайдерам, да. Хотя некоторые из них и железо в аренду дают.
Вот их AS из моего комментария: AS49305 (NL), AS208677 (RU), AS12876 (FR)

Total votes 1: ↑1 and ↓0+1

С одной стороны логично, зачем реагировать на жалобы людей из интернета?
В полицию идти тоже особо не с чем. Ну шлет кто то в интернете кому-то сообщения, где тут криминал. Максимум хулиганство, да и то не особо внятное.
Даже если заявление примут, то доказать факт нарушения сложно и дорого. Может и самому за поклеп наказание прилететь.


В моем случае помог ответ http сервера:
HTTP/1.1 301 Moved Permanently
Location: Ссылка на оооочень большой файл оставленный каким то провайдером в интернете чтобы проверять какая у них хорошая скорость скачивания.

This comment wasn’t rated yet0

С одной стороны логично, зачем реагировать на жалобы людей из интернета?

На мой вкус, это подход из серии "когда убьют, тогда и приходите".

Реагировать на жалобы из интернета логично как минимум в случае, если деятельность непосредственно с интернетом связана. Криминал и полиция тут тоже не при чём – у любого провайдера есть пункт в договоре о том, что действия клиента не должны причинять ущерб третьим лицам, а дальше всё зависит от толкований и подхода самого провайдера. Ну лень и жадность всегда будут на первом месте, это неизбежно.

Опять же, работа с абьюзами на почте легко автоматизируется. При наличии лога вред очевиден. Даже если предположить, что логи будут подделывать массово – есть куча доп. возможностей для проверки, начиная с какого-нибудь abuseipdb , и всё это прекрасно автоматизируется даже без "дорогостоящих" нейросетей, обычным и давно известным байесом в простом скрипте.

И опять же, совершенно не обязательно сразу отрубать клиента. Можно послать предупреждение или запрос разъяснений.

This comment wasn’t rated yet0
на мой вкус, это подход из серии "когда убьют, тогда и приходите".

Уж как есть.


Реагировать на жалобы из интернета логично

Вам поступает жалоба на клиента который платит вам денежку от непонятно кого из интернета. У вас два варианта:


  • Проигнорировать и получить оплату за следующий месяц. (253 IPv4 адреса это порядка 25 тыс руб ) И потенциальный и низкий риск когда-нибудь быть вовлеченным как свидетель правонарушения о котором ничего не знали, которое происходило на территории чужого государства. Не связанного с большим ущербом. Произошедшего отчасти по вине технического специалиста жертвы.
  • Отреагировать и 1. потерять клиента. 2. Потратить время технического специалиста 3. потратить время юридического специалиста. 4. Потенциально получить отзыв о том что неправомерно отключили на основе беспочвенной жалобы из интернета. И еще много разных других плюшек.

Мне было-бы очень интересно услышать ваши аргументы по вопросу того почему провайдер должен предпочесть вариант 2.

Total votes 2: ↑1 and ↓10
За пять дней к SMTP-серверу обратились три раза с каким-то расширением SMTP, которое моя заглушка была не в состоянии разобрать

Хотелось бы увидеть, что они присылали в raw, мало ли, может там эксплойт какого-то SMTP-сервера по известной уязвимости, что можно было бы скормить хотя бы локальным админам на предмет "а ну как вас этим сломали". Ну или просто на интерес. Вы часом не логировали эту часть данных?

This comment wasn’t rated yet0

Неудачи (некорретные для моего SMTP-сервера команды) логировались только в journald, который уже канул в небытие вместе с моим сервером-приманкой.

Но за две недели после выхода статьи все же пришли суммарно с 15 попытками. Чего-нибудь отправить. Большая часть выглядела как проверка, что мой SMTP работает:

Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Subject: Hello Hegazy
From: Hegazy <hegazy67981@gmail.com>
To: hegzender@hotmail.com

[Works]
IP:37.9.*.*:25 - Host: None

12	2023-09-25 18:30:29.973654+03	5.44.*.*	cs49957.dogadoserver.de	hegazy245125@gmail.com	{hegazyvip@yahoo.com}

Но есть и одна жемчужинка:

Reply-To: <rev_peter200421@yahoo.co.jp>
From: "Dr Predee Daochai"<info@internationalsettlementdept.com>
Subject: Your Payment is Ready  --        37.9.*.*
Date: Wed, 13 Sep 2023 17:03:07 -0700
MIME-Version: 1.0
Content-Type: text/plain;
    charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

Attention; Greetings, 

In Respect of Your Total inherited/Contract Sum Owed to You Which You Have Failed to Claim Because Of Either Non-Compliance of Official Processes Or Because Of Your Unbelief of The Reality of Your Genuine Payment. We Wish to Bring to You the Solution to This Problem. Right Now, We Have Arranged Your Payment Through Our Swift Card Payment Centers, That Is the Latest Instruction from Economic Community of West African States (ECOWAS) and the United Nations. This Card Center Will Send To You An ATM DEBIT function Card Which You Will Use To Withdraw Your Fund In Any ATM Machine In Any Part Of The World.

So If You Like To Receive Your Fund In This Way, Please Let Us Know By Contacting Us Back And Also Send The Following Information As Listed Below.

1. Full Name

2. Phone and Fax Number

3. Address Where You Want Them to Send the ATM Card

4. Your Age and Current Occupation

5. Attach Copy of Your Identification

6. your resident Address

We Have Been Mandated by The ECOWAS Parliament and the United Nations to Issue Out $1.5 Million in your favor This fiscal year 2023. Also, For Your Information, You Have to Stop Any Further Communication with Any Other Person (S) Or Office(S) To Avoid Any Hitches In Receiving Your Payment.

Note That Because Of Impostors, We want to know that your ATM CARD will be Issued to You by the instructed Bank. And you are to send your full information for preparation of your ATM CARD in your Name and for shipment/delivery of the ATM CARD to your doorstep. AS SOON AS I CONFIRM THE REQUIRED INFORMATION, I WILL DIRECT FOR IMMEDIATE DISPATCH OF YOUR ATM CARD.

Regards,
Dr Predee Daochai
International Settlement Dept Bangkok Thailand.

5	2023-09-24 04:16:49.381934+03	79.110.*.*	WIN-CLJ1B0GQ6JP	spameri@tiscali.it	{spameri@tiscali.it}

Я такие письма только по легендам знаю!

Total votes 1: ↑1 and ↓0+1

Насчёт статистики по странам. Полагаю что она отражает статистику только обращений из определённых стран, но не статистику гражданства хакеров.

У меня есть VPS в Нидерландах и я вижу что многие снимают VPS там же, по крайней мере среди моего круга. Видимо по соотношению  цена\качество в Нидерландах оптимальное предложение. По крайней мере я у своего хостера выбирал между Германией и Нидерландами, в Германии было дороже. 

Я это к тому, что хакер реально может быть из одной страны, а VPS в другой. [Основная мысль] И это не куча Нидерландских хакеров, а куча непонятно какой принадлежности хакеров. Кстати в США, тоже можно легко снять VPS.

С Китаем думаю другая ситуация, скорее всего там хакеры 99% Китайские, а может и 100%.

This comment wasn’t rated yet0
Sign up to leave a comment.

Your account

Sections

Information

Services

Support
© 2006–2024, Habr