Servidores assediados por indivíduos em constante mudança de IPs

10

Executamos um produto comunitário. Há um indivíduo (um pequeno garoto de PoS) no Reino Unido que está assediando nosso site nos últimos 6 meses. Sua tarefa diária é criar uma nova conta, postar um monte de conteúdo ilegal / inflamatório, causar aumento de pessoas e ser excluído em poucas horas por um administrador. Então repita.

Seu endereço IP muda sempre que ele cria uma nova conta (usando um proxy ou outra ferramenta similar). O único ponto em comum é o nível superior 92.xxx Tentamos entrar em contato com as autoridades do Reino Unido ... enquanto elas estão interessadas, elas não forneceram nada acionável. Enquanto isso, esse assédio continua diariamente.

Alguém tem experiência em como acabar com isso? Estou praticamente no fim da minha esperteza aqui e esperando que alguém que tenha lidado com isso antes possa fornecer alguma orientação.

Thx antecipadamente.


fonte
que tipo de sistema operacional do servidor você está usando?
Patrick R
Alguma chance de o UserAgent ser identificável ou existir algum tipo de padrão nas solicitações da Web?
Dscoduc
Redhat 5, pilha LAMP.
1
Espero que seja RHEL 5 e não Red Hat 5.0, que é antiga ...: P
Avery Payne
Você pode tentar o iwf.org.uk ou talvez entrar em contato com o UK CERT ukcert.org.uk para ver se eles podem fornecer melhores contatos no ISP ou um contato adequado para a aplicação da lei no Reino Unido, se as postagens forem ruins.
Sim

Respostas:

18

Em vez de bloqueá-lo, você pode empregar uma abordagem diferente - acho que ouvi em um dos podcasts do SO e / ou talvez o use também.

Não exclua a conta e as postagens - apenas as torne visíveis para esta conta e mais ninguém. O garoto continuará tentando enquanto você joga o jogo. Se ele vir que seus comentários não foram excluídos, ele poderá perder o interesse. Você pode deixar os comentários visíveis para toda a sub-rede 92.xxx, com a esperança de que ele nunca notará, e você não ofenderá outros usuários.

Ensolarado
fonte
Eu gosto dessa abordagem Sunny. 1
Patrick R
+1 Sim, isso é radicalmente arrumado
Oskar Duveborn 24/02
Muito criativo. Eu gosto muito. =)
Wesley
2
Agradável. Mas como isso seria implementado? Como os ataques vêm de 92/8, você define qualquer postagem de 92/8 para ser visível apenas em 92/8? E as pessoas decentes em 92/8?
Paul
3
Espere ele criar uma nova conta e aplicá-la a ela em vez de bani-la completamente? Sim, ele fará mais algumas contas, mas as chances são de que, se ele não for "banido" com frequência, não fará muitas.
Frenchie
4

Se estiver disponível, você pode tentar aprovar novas contas ou aprovar a primeira postagem de uma conta recém-criada.

dimitri.p
fonte
Acordado. Esse é apenas o tipo de motivo para ter postagens moderadas.
John Gardeniers
2

Eu tentava rastrear (tracert) um dos endereços IP para o provedor, procurar um e-mail / número de contato de abuso para o provedor e informar o endereço IP.

Se o usuário estiver em uma rede pública, você estará praticamente em um beco sem saída, mas se for uma empresa ou residência, poderá solicitar uma consulta sobre a propriedade do Endereço IP.

Dscoduc
fonte
Fizemos isso, e o ISP é (geralmente) o armazém de telefones. Dada a natureza vil do que esse garoto publica (pense em prejudicar crianças, animais e outros em detalhes incríveis), esperávamos que exemplos + endereços IP + horários de acesso fossem suficientes para motivá-los. Eles reconheceram o recebimento dos dados, mas, enquanto isso, continuamos a vê-lo todos os dias.
1

92.0.0.0 está sob a autoridade do RIPE , portanto, pesquise o IP específico no banco de dados RIPE e você descobrirá qual rede tem controle direto desse IP. Em seguida, você pode relatá-los aos canais apropriados para esse intervalo.

Wesley
fonte
1

Bloquear uma rede inteira parece um pouco exagerado. Você poderia mudar seu site para somente leitura por uma semana ou duas? Se for apenas uma criança que quer gozar suas alegrias, ele ficará entediado e seguirá em frente.

Há também a possibilidade de que possa ser causado por um malware na máquina de uma pessoa totalmente inocente. Isso sempre deve ser visto como uma possível fonte desse tipo de ataque. Parece um pouco improvável que um ser humano realize um ataque tão prolongado por esse período de tempo - diariamente por 6 meses completos é bastante extremo.

Eu votaria em um CAPTCHA forte na criação de novas contas (e em qualquer recurso de registro não registrado que você possa ter) e na aprovação de novas contas (embora isso possa ser sua cabeça se isso acontecer continuamente). Isso deve pegar as duas possibilidades possíveis.

Maximus Minimus
fonte
O OP já indicou que isso acontece há 6 meses, para que essa pessoa em particular não fique entediada com muita facilidade. Mais é uma pena.
John Gardeniers
0

Em vez de bloquear completamente o acesso à rede 92/8, pode ser suficiente bloquear a criação de novas contas (ou exigir a aprovação do administrador).

Isso evitaria o dano colateral das pessoas nessa rede que visitam seu site (e já têm contas).


fonte
0

Nenhuma das sugestões fornecidas o ajudará.

Esse tipo de pessoa executa spywares / malwares que os abrem para PCs em todo o planeta, nem sequer considera bloquear IPs ou blocos de IPs e espera resultados a longo prazo.

Agora você só tem um deles, o que é ótimo, imagine o que seria se eles tivessem 10 anos ou mais.

Você precisa alterar a maneira como seu aplicativo funciona.

Aqui estão algumas idéias:
- Se a conta não tiver pelo menos 24 horas
- Registrada no Yahoo, Gmail, Hotmail / MSN.

Impedir respostas ou aceitá-las pelos administradores.

Mas, antes de tudo, você provavelmente pode aumentar a sua nova inscrição de usuário.
Um bom exemplo é que os remetentes de spam geralmente se registram usando recortar e colar ou até bots; eles cometem ENORMES erros que podem ser vistos diretamente no registro, como:

  • Nome em minúscula, nome, cidade, ...
  • Senhas fáceis

Veja o registro feito por esse cara, você deve encontrar coisas assim. Se você encontrar alguns, aplique-os no registro. Isso fará com que ele corrija tudo isso para se inscrever. O que o levou 30 segundos agora levará alguns minutos, como a maioria das pessoas. Apenas certifique-se de não punir todos os novos usuários com isso.

Opcionalmente, você pode considerar ter algum tipo de filtragem em um banco de dados para todos os comentários. Se um comentário é sinalizado, ele é excluído, avisa o usuário ou requer aprovação de administradores.

Akismet poderia potencialmente fazer o trabalho ou pelo menos uma boa parte dele. Se você não executar o Wordpress, use uma API para o idioma que seu aplicativo usa.

Você provavelmente terá melhores resultados com muitas pequenas alterações do que uma solução radical.

Boa sorte.

Embreau
fonte
-2

O mais fácil e sem dúvida mais eficaz é bloquear 92.0.0.0/8 (0.255.255.255 no curinga, é claro). Isso tem a desvantagem de remover cerca de 1/200 do espaço útil da Internet de acessar seu site.

Dependendo de como você está frustrado - e certamente não é especialista em TI (dependendo de qual país você é e onde está hospedado), você pode usar qualquer número de vulnerabilidades presentes nos navegadores disponíveis hoje e soltar rm -rf ou formato C: -f adequadamente, é obscuro e provavelmente antiético, mas foi usado (anedoticamente, é claro) por administradores com resultados um tanto engraçados.

Apenas como observação, os contatos de abuso são uma piada, da mesma forma com a aplicação da lei. A menos que você tenha perdido muito dinheiro e possa mostrar isso com demonstrações financeiras, boa sorte em conseguir alguma coisa. Pelo menos é assim que funciona com os federais nos EUA. , Eu não posso falar muito em relação ao Reino Unido.

ŹV -
fonte
A única vez que vi contatos de abuso funcionarem é quando um provedor de serviços de Internet colocou lixo em seus registros da IANA, que eu descobri porque estavam enviando spam. Eu obtive um resultado muito rápido do link internacional deles quando lhes enviei um email sobre isso!
Staticsan
Meu argumento está provado. Quando eu disse 'contatos de abuso', quero dizer em relação ao Hacking e imagino ESPECIALMENTE tentativas de assédio, nunca, literalmente, NUNCA ouvi falar de sucesso no nível do provedor de serviços de Internet.
--V -
1
-1 para o rm -rf (que eu espero que tenha sido uma piada).
Maximus Minimus
3
rm -rf nunca é uma piada.
ŹV
2
Ética e moral à parte, se ele soubesse o suficiente sobre a pessoa para configurar um ataque direcionado contra o PC, você não acha que ele poderia bloquear a pessoa? Definitivamente não é uma opção viável
einstiien