Server molestati da singoli individui su IP in continua evoluzione


10

Gestiamo un prodotto comunitario. C'è un individuo (un ragazzino PoS) nel Regno Unito che sta molestando il nostro sito negli ultimi 6 mesi. Il suo compito quotidiano è quello di creare un nuovo account, pubblicare un sacco di contenuti illegali / infiammatori, ottenere un aumento di persone, quindi essere eliminato entro poche ore da un amministratore. Quindi ripeti.

Il suo indirizzo IP cambia ogni volta che crea un nuovo account (utilizzando un proxy o altri strumenti simili). L'unico punto in comune è il 92.xxx di livello superiore. Abbiamo provato a contattare le autorità del Regno Unito ... mentre sono interessati, non hanno fornito nulla di utilizzabile. Nel frattempo, queste molestie continuano ogni giorno.

Qualcuno ha esperienza su come uccidere questo? Sono praticamente alla fine del mio ingegno qui e spero che qualcuno che abbia affrontato prima questo possa fornire una guida.

Grazie in anticipo.


che tipo di server OS stai usando?
Patrick R,

Qualche possibilità che UserAgent sia identificabile o vi è una sorta di modello nelle richieste Web?
Dscoduc,

Redhat 5, pila LAMP.

1
Spero che sia RHEL 5 e non Red Hat 5.0, che è antico ...: P
Avery Payne,

Puoi provare iwf.org.uk o forse contattare UK CERT ukcert.org.uk per vedere se sono in grado di fornire migliori contatti presso l'ISP o un contatto delle forze dell'ordine del Regno Unito se i post sono così male.
Sim

Risposte:


18

Invece di bloccarlo, puoi utilizzare un approccio diverso: penso di averlo sentito su uno dei podcast SO e / o forse anche di usarlo.

Non eliminare l'account e i post: rendili visibili solo a questo account e a nessun altro. Il bambino continuerà a provare mentre giochi. Se vede che i suoi commenti non vengono cancellati, potrebbe perdere interesse. Puoi lasciare i commenti visibili per l'intera sottorete 92.xxx, con la speranza che non se ne accorga mai e non offenderai altri utenti.


Mi piace l'approccio Sunny. +1
Patrick R

+1 Sì, questo è radicalmente pulito
Oskar Duveborn,

Molto creativo. Mi piace molto. =)
Wesley,

2
Bello. Ma come verrebbe implementato? Dato che gli attacchi provengono dal 92/8, imposti qualche post dal 92/8 in modo che sia visibile solo nel 92/8? Che dire delle persone decenti nel 92/8?
Paul,

3
Aspettare che crei un nuovo account e applicarlo a quell'account invece di vietarlo apertamente? Sì, farà qualche altro account, ma è probabile che se non viene "bannato" frequentemente non ne farà troppi.
Frenchie,

4

Se è disponibile, puoi provare ad approvare nuovi account o approvare il primo post di un account appena creato.


Concordato. Questo è proprio il tipo di motivo per avere post moderati.
John Gardeniers,

2

Vorrei provare a rintracciare (tracert) uno degli indirizzi IP al provider, cercare un indirizzo e-mail / numero di contatto di abuso per il provider e segnalare l'indirizzo IP.

Se l'utente si trova su una rete pubblica sei praticamente in un vicolo cieco, ma se si tratta di un'azienda o residenza, potresti essere in grado di richiedere una richiesta sulla proprietà dell'indirizzo IP.


L'abbiamo fatto e l'ISP è (di solito) carphonewarehouse. Data la natura vile di ciò che questo bambino pubblica (pensa di danneggiare bambini, animali e altri in modo incredibilmente dettagliato), speravamo che esempi + indirizzi IP + tempi di accesso sarebbero stati sufficienti per motivarli. Hanno riconosciuto la ricezione dei dati, ma nel frattempo continuiamo a vederlo ogni giorno.

1

92.0.0.0 è sotto l'autorità di RIPE , quindi cerca l'IP specifico nel database RIPE e troverai quale rete ha il controllo diretto di quell'IP. Quindi puoi segnalarli ai canali appropriati per quell'intervallo.


1

Il blocco di un'intera rete sembra un po 'eccessivo. Potresti cambiare il tuo sito in sola lettura per una settimana o due? Se è solo un bambino a prendere le sue gioie, si annoierà e andrà avanti.

C'è anche la possibilità che possa essere causato da un pezzo di malware sulla macchina di una persona totalmente innocente. Questo dovrebbe essere sempre visto come una possibile fonte di questo tipo di attacco. Sembra un po 'improbabile che un essere umano effettui un attacco così prolungato per un periodo di tempo così - ogni giorno per ben 6 mesi è abbastanza estremo.

Voterei per un forte CAPTCHA sulla creazione di nuovi account (e su qualsiasi struttura di registrazione non registrata che potresti avere) e l'approvazione per nuovi account (anche se potrebbe fare la tua testa se succede su una base continua). Ciò dovrebbe cogliere entrambe le possibilità potenziali.


L'OP ha già indicato che ciò accade da 6 mesi, quindi questa persona in particolare non si annoia troppo facilmente. Più è un peccato.
John Gardeniers,

0

Invece di bloccare completamente l'accesso alla rete 92/8, potrebbe essere sufficiente bloccare la creazione di nuovi account (o richiedere l'approvazione dell'amministratore).

Ciò eviterebbe il danno collaterale di quelle persone in quella rete che visitano il tuo sito (e hanno già account).


0

Nessuno dei suggerimenti forniti ti aiuterà.

Questo tipo di persone esegue spyware / malware che stanno aprendo loro PC in tutto il pianeta, non prendono nemmeno in considerazione il blocco di IP o blocchi di IP e si aspettano risultati a lungo termine.

Ora ne hai solo uno, il che è fantastico, immagina cosa sarebbe se fossero 10 o anche di più.

Devi cambiare il modo in cui funziona la tua applicazione.

Ecco alcune idee:
- Se l'account non ha almeno 24 ore di età
- Registrato con Yahoo, Gmail, Hotmail / MSN.

Prevenire le risposte o farle accettare dagli amministratori.

Ma prima di tutto, potresti probabilmente rafforzare la tua nuova registrazione utente.
Un buon esempio è che gli spammer spesso si iscrivono usando taglia e incolla o anche i robot, spesso fanno errori ENORMI che possono essere visti proprio al momento della registrazione come:

  • Nome minuscolo, nome, città, ...
  • Password facili

Guarda la registrazione fatta da questo ragazzo, dovresti trovare cose del genere. Se ne trovi alcuni, applicali alla registrazione. Questo lo farà correggere tutto questo al fine di iscriversi. Ciò che lo stava impiegando 30 secondi, ora gli richiederà minuti, come la maggior parte delle persone. Assicurati di non punire tutti i nuovi utenti con questo.

Opzionalmente potresti prendere in considerazione la possibilità di applicare una sorta di filtro a un database per tutti i commenti. Se un commento è contrassegnato, viene eliminato, avvisa l'utente o richiede l'approvazione degli amministratori.

Akismet potrebbe potenzialmente fare il lavoro o almeno una buona parte di esso. Se non esegui Wordpress, utilizza un'API per la lingua utilizzata dall'applicazione.

Probabilmente avrai risultati migliori con molte piccole modifiche rispetto a una soluzione radicale.

In bocca al lupo.


-2

Il più semplice e probabilmente il più efficace è bloccare 92.0.0.0/8 (0.255.255.255 in Wildcard ovviamente). Questo ha lo svantaggio di rimuovere circa 1 / 200esimo dello spazio Internet utilizzabile dall'accesso al tuo sito.

A seconda di quanto sei frustrato - e certamente non è un kosher IT (a seconda del paese di provenienza e di dove sei ospitato), potresti utilizzare un numero qualsiasi di vulnerabilità presenti nei browser web disponibili oggi e rilasciare rm -rf o formato C: -f appropriatamente, è ombroso e probabilmente non etico, ma è stato usato (aneddoticamente ovviamente) dagli amministratori con risultati piuttosto umoristici.

Proprio come una nota, i contatti sugli abusi sono uno scherzo, allo stesso modo con le forze dell'ordine, a meno che tu non abbia perso grosse somme di denaro e puoi mostrarlo con i rendiconti finanziari, buona fortuna con ottenere qualcosa, almeno è così che funziona con i federali negli Stati Uniti , Non posso parlare molto verso il Regno Unito.


L'unica volta che ho visto i contatti di abuso funzionare è quando un ISP ha messo spazzatura nei loro record IANA, che ho scoperto perché erano spamming. Ho ottenuto un risultato molto rapido dal loro link internazionale quando li ho inviati via email a riguardo!
staticsan

Il mio punto è dimostrato. Quando ho detto "contatti di abuso" intendo in relazione all'hacking e immagino che i tentativi di molestie SOPRATTUTTO, non ho mai, letteralmente MAI sentito parlare di successo a livello di ISP.
ŹV -

1
-1 per l'rm -rf (che spero fosse inteso come uno scherzo).
Maximus Minimus

3
rm -rf non è mai uno scherzo.
ŹV -

2
Etica e morale a parte, se avesse saputo abbastanza della persona per impostare un attacco mirato contro il suo PC, non pensi che potrebbe semplicemente bloccare la persona? Sicuramente non è un'opzione praticabile
einstiien
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.