เซิร์ฟเวอร์ที่ถูกแฮ็กโดยบุคคลในการเปลี่ยนแปลง IP อย่างต่อเนื่อง


10

เราเรียกใช้ผลิตภัณฑ์ชุมชน ในสหราชอาณาจักรมีบุคคล (เด็ก PoS ตัวน้อย) ที่ล่วงละเมิดไซต์ของเราในช่วง 6 เดือนที่ผ่านมา งานประจำวันของเขาคือการสร้างบัญชีใหม่โพสต์เนื้อหาที่ผิดกฎหมาย / อักเสบจำนวนมากเพิ่มจำนวนผู้คนเพิ่มขึ้นจากนั้นผู้ดูแลระบบจะถูกลบภายในไม่กี่ชั่วโมง จากนั้นทำซ้ำ

ที่อยู่ IP ของเขาจะเปลี่ยนทุกครั้งที่เขาสร้างบัญชีใหม่ (อาจใช้พร็อกซีหรือเครื่องมืออื่นที่คล้ายคลึงกัน) สามัญชนเพียงอย่างเดียวคือระดับสูงสุด 92.xxx เราได้ลองติดต่อเจ้าหน้าที่สหราชอาณาจักร ... ในขณะที่พวกเขาสนใจพวกเขาไม่ได้ให้อะไรที่สามารถดำเนินการได้ ในขณะเดียวกันการคุกคามนี้ยังคงดำเนินต่อไปทุกวัน

ใครบ้างมีประสบการณ์ในการฆ่าสิ่งนี้? ตอนท้ายฉันก็ใกล้จะหมดแล้วและหวังว่าจะมีใครซักคนจัดการเรื่องนี้มาก่อนได้

ขอบคุณล่วงหน้า


คุณใช้เซิร์ฟเวอร์ OS ชนิดใด
Patrick R

มีโอกาสใดที่ UserAgent สามารถระบุตัวตนได้หรือมีรูปแบบบางอย่างในคำขอเว็บ
Dscoduc

Redhat 5, LAMP stack

1
ฉันหวังว่าจะเป็น RHEL 5 ไม่ใช่ Red Hat 5.0 ซึ่งเก่าแก่ ... : P
Avery Payne

คุณสามารถลองiwf.org.ukหรืออาจติดต่อ UK CERT ukcert.org.ukเพื่อดูว่าพวกเขาสามารถให้รายชื่อผู้ติดต่อที่ดีขึ้นได้ที่ ISP หรือติดต่อหน่วยงานบังคับใช้กฎหมายของสหราชอาณาจักรที่เหมาะสมหากโพสต์นั้นแย่
Sim

คำตอบ:


18

แทนที่จะปิดกั้นคุณสามารถใช้วิธีการอื่น - ฉันคิดว่าฉันได้ยินมันในหนึ่งในพอดคาสต์ดังนั้นและ / หรืออาจจะใช้มันเช่นกัน

อย่าลบบัญชีและโพสต์ - เพียงทำให้พวกเขามองเห็นได้เฉพาะในบัญชีนี้และไม่มีใครอื่น เด็กจะพยายามต่อไปในขณะที่คุณเล่นเกม หากเขาเห็นว่าความคิดเห็นของเขาจะไม่ถูกลบเขาอาจสูญเสียความสนใจ คุณสามารถแสดงความคิดเห็นให้กับเครือข่ายย่อยทั้งหมด 92.xxx ด้วยความหวังว่าเขาจะไม่สังเกตเห็นและคุณจะไม่รุกรานผู้ใช้รายอื่น


ฉันชอบวิธีการที่ซันนี่ +1
Patrick R

+1 ใช่นี่เป็นระเบียบเรียบร้อย
Oskar Duveborn

สร้างสรรค์มาก ฉันชอบมาก =)
Wesley

2
ดี แต่สิ่งนี้จะดำเนินการได้อย่างไร ตั้งแต่การโจมตีมาจาก 92/8 ทำคุณตั้งค่าใด ๆ ที่โพสต์จาก 92/8 ที่จะมองเห็นได้เฉพาะใน 92/8? แล้วคนที่มีค่าควรใน 92/8 ล่ะ
พอล

3
รอให้เขาสร้างบัญชีใหม่และนำไปใช้กับบัญชีนั้นแทนที่จะสั่งห้ามทันที? ใช่เขาจะทำบัญชีเพิ่มอีกไม่กี่บัญชี แต่มีโอกาสถ้าเขาไม่ "ถูกแบน" บ่อยครั้งเขาจะไม่ทำมากเกินไป
Frenchie

4

หากมีให้คุณสามารถลองอนุมัติบัญชีใหม่หรืออนุมัติการโพสต์แรกของบัญชีที่สร้างขึ้นใหม่


ตกลง นี่เป็นเพียงเหตุผลที่จะมีการโพสต์กลั่นกรอง
John Gardeniers

2

ฉันจะลองและติดตามกลับ (tracert) หนึ่งในที่อยู่ IP ไปยังผู้ให้บริการค้นหาอีเมลติดต่อ / หมายเลขที่ไม่เหมาะสมสำหรับผู้ให้บริการและรายงานที่อยู่ IP

หากผู้ใช้อยู่ในเครือข่ายสาธารณะคุณอยู่ในขั้นสุดท้ายแล้ว แต่ถ้าเป็น บริษัท หรือที่อยู่อาศัยคุณอาจจะสามารถสอบถามเกี่ยวกับการเป็นเจ้าของที่อยู่ IP ได้


เราได้ทำสิ่งนี้แล้วและ ISP (คือปกติ) carphonewarehouse ด้วยความเลวทรามของสิ่งที่เด็กคนนี้โพสต์ (คิดว่าทำร้ายเด็กสัตว์และคนอื่น ๆ ในรายละเอียดที่เหลือเชื่อ) เราหวังว่าตัวอย่าง + ที่อยู่ IP + เวลาในการเข้าถึงจะเพียงพอที่จะกระตุ้นให้พวกเขา พวกเขายอมรับว่าได้รับข้อมูล แต่ในขณะเดียวกันเราก็ยังเห็นเขาทุกวัน

1

92.0.0.0 อยู่ภายใต้อำนาจของRIPEดังนั้นค้นหา IP เฉพาะในฐานข้อมูล RIPE และคุณจะพบว่าเครือข่ายใดที่มีการควบคุมโดยตรงของ IP นั้น จากนั้นคุณสามารถรายงานให้ช่องที่เหมาะสมสำหรับช่วงนั้น


1

การปิดกั้นเครือข่ายทั้งหมดดูเหมือนจะเกินความจำเป็นเล็กน้อย คุณสามารถเปลี่ยนเว็บไซต์เป็นแบบอ่านอย่างเดียวเป็นเวลาหนึ่งหรือสองสัปดาห์ได้หรือไม่ ถ้ามันเป็นแค่เด็กออกไปรับ jollies ของเขาเขาจะเบื่อและไปต่อ

นอกจากนี้ยังมีความเป็นไปได้ที่อาจเกิดจากมัลแวร์ชิ้นหนึ่งในเครื่องของผู้บริสุทธิ์โดยสิ้นเชิง ซึ่งควรถูกมองว่าเป็นแหล่งที่มาของการโจมตีประเภทนี้ ดูเหมือนว่าไม่น่าเป็นไปได้ที่มนุษย์จะทำการโจมตีอย่างยั่งยืนในช่วงเวลาดังกล่าว - ทุกวันตลอด 6 เดือนนั้นค่อนข้างรุนแรง

ฉันจะลงคะแนนให้ CAPTCHA ที่แข็งแกร่งในการสร้างบัญชีใหม่ (และสิ่งอำนวยความสะดวกในการโพสต์ที่คุณอาจมี) และการอนุมัติสำหรับบัญชีใหม่ ที่ควรจับโอกาสที่เป็นไปได้ทั้ง


OP ได้ระบุแล้วว่าสิ่งนี้เกิดขึ้นเป็นเวลา 6 เดือนดังนั้นบุคคลนี้จึงไม่รู้สึกเบื่อง่ายเกินไป น่าเสียดายมาก
John Gardeniers

0

แทนที่จะบล็อกการเข้าถึงเครือข่าย 92/8 อย่างสมบูรณ์อาจเพียงพอที่จะบล็อกการสร้างบัญชีใหม่ (หรือต้องได้รับการอนุมัติจากผู้ดูแลระบบ)

วิธีนี้จะหลีกเลี่ยงความเสียหายของหลักประกันจากบุคคลเหล่านั้นในเครือข่ายที่เข้าชมไซต์ของคุณ (และมีบัญชีอยู่แล้ว)


0

ไม่มีคำแนะนำใดที่จะช่วยคุณได้

คนประเภทนี้เรียกใช้สปายแวร์ / มัลแวร์ที่เปิดพีซีของพวกเขาไปทั่วโลกอย่าแม้แต่จะบล็อกไอพีหรือไอพีของบล็อกและคาดหวังผลระยะยาว

ตอนนี้คุณมีเพียงหนึ่งในนั้นที่ยอดเยี่ยมลองนึกภาพว่ามันจะเป็นอย่างไรถ้าพวกเขาอายุ 10 ปีขึ้นไป

คุณต้องเปลี่ยนวิธีการทำงานของแอปพลิเคชันของคุณ

นี่คือแนวคิดบางประการ:
- หากบัญชีมีอายุอย่างน้อย 24 ชั่วโมง
- ลงทะเบียนกับ Yahoo, Gmail, Hotmail / MSN

ป้องกันการตอบกลับหรือให้พวกเขายอมรับโดยผู้ดูแลระบบ

แต่ก่อนอื่นคุณอาจกระชับการลงทะเบียนผู้ใช้ใหม่ของคุณ
ตัวอย่างที่ดีอย่างหนึ่งคือผู้ส่งอีเมลขยะมักจะลงทะเบียนโดยใช้การตัดและวางหรือแม้แต่บอทพวกเขามักจะทำผิดพลาดครั้งใหญ่ซึ่งสามารถเห็นได้จากการลงทะเบียนเช่น:

  • ตัวพิมพ์เล็กชื่อ, เมือง, ...
  • รหัสผ่านง่าย

ดูการลงทะเบียนที่ทำโดยคนนี้คุณควรหาสิ่งต่าง ๆ เช่นนั้น หากคุณพบบางอย่างบังคับใช้พวกเขาในการลงทะเบียน นี้จะให้เขาแก้ไขทั้งหมดนี้เพื่อสมัคร สิ่งที่พาเขาไป 30 วินาทีตอนนี้จะใช้เวลาไม่กี่นาทีเหมือนคนส่วนใหญ่ เพียงให้แน่ใจว่าคุณไม่ได้ลงโทษผู้ใช้ใหม่ทุกคนด้วยสิ่งนี้

คุณอาจพิจารณาที่จะมีการกรองบางอย่างกับฐานข้อมูลสำหรับความคิดเห็นทั้งหมด หากความคิดเห็นถูกตั้งค่าสถานะความคิดเห็นนั้นจะถูกลบเตือนผู้ใช้หรือต้องได้รับการอนุมัติจากผู้ดูแลระบบ

Akismetอาจทำงานได้หรืออย่างน้อยก็เป็นส่วนที่ดี หากคุณไม่ได้ใช้งาน Wordpress ให้ใช้ API สำหรับภาษาที่แอปพลิเคชันของคุณใช้

คุณอาจจะได้ผลลัพธ์ที่ดีขึ้นเมื่อมีการเปลี่ยนแปลงเล็ก ๆ น้อย ๆ

โชคดี.


-2

วิธีที่ง่ายและมีประสิทธิภาพมากที่สุดคือการบล็อก 92.0.0.0/8 (0.255.255.255 ใน Wildcard แน่นอน) นี่เป็นข้อเสียของการลบพื้นที่อินเทอร์เน็ตที่ใช้งานได้ประมาณ 1 ใน 200 จากการเข้าถึงเว็บไซต์ของคุณ

ขึ้นอยู่กับว่าคุณจะผิดหวัง - และไม่แน่นอนไอทีเพียวของ (ขึ้นอยู่กับสิ่งที่ประเทศที่คุณจะมาจากและที่คุณเป็นเจ้าภาพ), คุณสามารถใช้จำนวนช่องโหว่ใด ๆ ที่นำเสนอในเว็บเบราว์เซอร์ที่มีวันนี้และวางRM -rfหรือรูปแบบ C: -fอย่างเหมาะสมร่มรื่นและอาจผิดจรรยาบรรณ แต่ถูกนำมาใช้ (แน่นอนโดยปกติ) โดยผู้ดูแลระบบที่มีผลลัพธ์ที่ค่อนข้างตลก

เช่นเดียวกับบันทึกการติดต่อที่ไม่เหมาะสมเป็นเรื่องตลกเช่นเดียวกันกับการบังคับใช้กฎหมายเว้นแต่คุณจะสูญเสียเงินจำนวนมากและคุณสามารถแสดงสิ่งนี้กับงบการเงินโชคดีที่ได้รับอะไรอย่างน้อยนั่นเป็นวิธีการทำงานกับ Feds ในสหรัฐอเมริกา ฉันไม่สามารถพูดต่อสหราชอาณาจักรได้มากนัก


ครั้งเดียวที่ฉันเห็นผู้ติดต่อที่ไม่เหมาะสมทำงานคือเมื่อ ISP ใส่ขยะลงในบันทึก IANA ของพวกเขาซึ่งฉันพบเพราะพวกเขาสแปม ฉันได้รับผลที่รวดเร็วจากลิงค์ระหว่างประเทศของพวกเขาเมื่อฉันส่งอีเมลถึงพวกเขาเกี่ยวกับเรื่องนั้น!
staticsan

จุดของฉันได้รับการพิสูจน์แล้ว เมื่อฉันพูดว่า 'ผู้ติดต่อที่ไม่เหมาะสม' ฉันหมายถึงความสัมพันธ์กับการแฮ็กและฉันจินตนาการถึงความพยายามในการล่วงละเมิดโดยเฉพาะฉันไม่เคยได้ยินความสำเร็จในระดับ ISP อย่างแท้จริง
ŹV -

1
-1 สำหรับ rm -rf (ซึ่งฉันหวังว่าจะเป็นเรื่องตลก)
สังฆ Minimus

3
rm -rf ไม่เคยตลก
ŹV -

2
จริยธรรมและศีลธรรมกันถ้าเขารู้เพียงพอเกี่ยวกับบุคคลที่จะตั้งค่าการโจมตีเป้าหมายกับพีซีของคุณคุณไม่คิดว่าเขาสามารถบล็อกคนได้หรือไม่ ไม่ใช่ตัวเลือกที่ใช้การได้แน่นอน
einstiien
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.