Serwery nękane przez jednostkę przy stale zmieniających się adresach IP

10

Prowadzimy produkt społecznościowy. W Wielkiej Brytanii jest osoba (małe dziecko z PoS), która nęka naszą stronę przez ostatnie 6 miesięcy. Jego codziennym zadaniem jest utworzenie nowego konta, opublikowanie wielu nielegalnych / zapalnych treści, pozyskanie ludzi, a następnie usunięcie ich w ciągu kilku godzin przez administratora. Następnie powtórz.

Jego adres IP zmienia się za każdym razem, gdy tworzy nowe konto (przy użyciu serwera proxy lub innego podobnego narzędzia). Jedyną wspólną cechą jest najwyższy poziom 92.xxx Próbowaliśmy skontaktować się z władzami Wielkiej Brytanii ... chociaż są zainteresowani, nie dostarczyli niczego, co mogłoby być przedmiotem postępowania. Tymczasem nękanie to trwa codziennie.

Czy ktoś ma doświadczenie w tym, jak to zabić? Jestem prawie pod moim dowcipem tutaj i mam nadzieję, że ktoś, kto się tym zajął wcześniej, może udzielić wskazówek.

Dzięki z góry.


źródło
jakiego używasz systemu operacyjnego serwera?
Patrick R
Czy jest jakaś szansa, że ​​UserAgent jest możliwy do zidentyfikowania lub istnieje jakiś wzorzec w żądaniach internetowych?
Dscoduc
Redhat 5, stos LAMP.
1
Mam nadzieję, że to RHEL 5, a nie Red Hat 5.0, który jest starożytny ...: P
Avery Payne
Możesz wypróbować iwf.org.uk lub skontaktować się z brytyjskim CERT ukcert.org.uk, aby sprawdzić, czy mogą zapewnić lepsze kontakty u dostawcy usług internetowych lub odpowiedniego kontaktu z organami ścigania w Wielkiej Brytanii, jeśli posty są tak złe.
Sim

Odpowiedzi:

18

Zamiast go blokować, możesz zastosować inne podejście - myślę, że słyszałem go na jednym z podcastów SO i / lub może SO też go używa.

Nie usuwaj konta i postów - po prostu wyświetl je tylko dla tego konta i nikogo innego. Dzieciak będzie próbował spróbować podczas gry. Jeśli zobaczy, że jego komentarze nie zostały usunięte, może stracić zainteresowanie. Możesz pozostawić komentarze widoczne dla całej podsieci 92.xxx, mając nadzieję, że nigdy ich nie zauważy i nie obrażasz innych użytkowników.

Słoneczny
źródło
Podoba mi się takie podejście Sunny. +1
Patrick R
+1 Tak, to jest radykalnie
fajne
Bardzo kreatywne. Bardzo lubię. =)
Wesley
2
Miły. Ale w jaki sposób można to zrealizować? Ponieważ ataki pochodzą z 92/8, czy ustawiasz jakikolwiek post z 92/8 tak, aby był widoczny tylko w 92/8? Co z przyzwoitymi ludźmi w wieku 92/8 lat?
Paul
3
Czekać, aż utworzy nowe konto i zastosuje je do tego konta, zamiast go banować? Tak, założy jeszcze kilka kont, ale są szanse, że jeśli nie zostanie „zbanowany” często, nie zrobi zbyt wielu.
Frenchie
4

Jeśli jest dostępny, możesz spróbować zatwierdzić nowe konto lub zatwierdzić pierwszy post nowo utworzonego konta.

dimitri.p
źródło
Zgoda. To tylko powód, dla którego moderowane posty.
John Gardeniers
2

Spróbowałbym prześledzić jeden z adresów IP do dostawcy, wyszukać adres e-mail / numer kontaktowy nadawcy i podać adres IP.

Jeśli użytkownik jest w sieci publicznej, jesteś praktycznie w ślepym zaułku, ale jeśli jest to firma lub miejsce zamieszkania, możesz poprosić o zapytanie dotyczące własności adresu IP.

Dscoduc
źródło
Zrobiliśmy to, a usługodawcą internetowym jest (zwykle) carphonewarehouse. Biorąc pod uwagę ohydną naturę tego, co ten dzieciak publikuje (myśl, że krzywdzą dzieci, zwierzęta i inne w niewiarygodnych szczegółach), mieliśmy nadzieję, że przykłady + adresy IP + czasy dostępu będą wystarczające, aby zmotywować ich. Potwierdzili otrzymanie danych, ale tymczasem codziennie go widujemy.
1

92.0.0.0 podlega RIPE , więc wyszukaj konkretny adres IP w bazie danych RIPE, a dowiesz się, która sieć ma bezpośrednią kontrolę nad tym adresem IP. Następnie możesz zgłosić je do odpowiednich kanałów dla tego zakresu.

Wesley
źródło
1

Blokowanie całej sieci wydaje się trochę przesadne. Czy możesz zmienić witrynę na tylko do odczytu na tydzień lub dwa? Jeśli to tylko dzieciak, który zbiera swoje wesołości, znudzi się i ruszy dalej.

Istnieje również możliwość, że może to być spowodowane złośliwym oprogramowaniem na komputerze całkowicie niewinnej osoby. To zawsze powinno być postrzegane jako możliwe źródło tego rodzaju ataku. Wydaje się trochę mało prawdopodobne, aby istota ludzka przeprowadziła tak trwały atak przez taki okres czasu - codziennie przez pełne 6 miesięcy jest dość ekstremalna.

Głosowałbym za silnym CAPTCHA przy tworzeniu nowego konta (i na każdej innej niezarejestrowanej placówce wysyłkowej) i zatwierdzeniu nowych kont (chociaż może to przynieść ci efekt, jeśli zdarza się to w sposób ciągły). To powinno uchwycić obie potencjalne możliwości.

Maximus Minimus
źródło
PO wskazał już, że dzieje się to od 6 miesięcy, więc ta konkretna osoba nie nudzi się zbyt łatwo. Więcej szkoda.
John Gardeniers
0

Zamiast całkowicie blokować dostęp do sieci 92/8 może być wystarczające zablokowanie tworzenia nowych kont (lub wymaganie zgody administratora).

Pozwoli to uniknąć szkód ubocznych spowodowanych przez osoby w tej sieci, które odwiedzają Twoją witrynę (i już mają konta).


źródło
0

Żadna z podanych sugestii ci nie pomoże.

Tego rodzaju ludzie uruchamiają programy szpiegujące / złośliwe oprogramowanie, które otwierają im komputery na całym świecie, nawet nie rozważają blokowania adresów IP lub blokowania adresów IP i oczekują długoterminowych rezultatów.

Teraz masz tylko jeden z nich, co jest świetne, wyobraź sobie, jak by to było, gdyby mieli 10 lub więcej lat.

Musisz zmienić sposób działania aplikacji.

Oto kilka pomysłów:
- Jeśli konto nie ma co najmniej 24 godzin
- Zarejestrowane w Yahoo, Gmail, Hotmail / MSN.

Zapobiegaj odpowiedziom lub poproś o ich akceptację przez administratorów.

Przede wszystkim jednak prawdopodobnie możesz zaostrzyć rejestrację nowego użytkownika.
Dobrym przykładem jest spamer często rejestrujący się za pomocą wycinania i wklejania, a nawet botów, często popełnia OGROMNE błędy, które można zobaczyć bezpośrednio przy rejestracji, takie jak:

  • Imię, imię, miasto, ...
  • Łatwe hasła

Spójrz na rejestrację dokonaną przez tego faceta, powinieneś znaleźć takie rzeczy. Jeśli znajdziesz jakieś, wymusz je przy rejestracji. Spowoduje to, że poprawi to wszystko, aby się zarejestrować. To, co zajęło mu 30 sekund, zajmie mu teraz minuty, jak większość ludzi. Upewnij się, że nie ukarasz tego nowymi użytkownikami.

Opcjonalnie możesz rozważyć filtrowanie w bazie danych dla wszystkich komentarzy. Jeśli komentarz jest oflagowany, jest usuwany, ostrzega użytkownika lub wymaga zgody administratora.

Akismet może potencjalnie wykonać tę pracę lub przynajmniej jej część. Jeśli nie uruchamiasz Wordpress, użyj interfejsu API dla języka używanego przez aplikację.

Prawdopodobnie uzyskasz lepszy wynik przy wielu drobnych zmianach niż jedno radykalne rozwiązanie.

Powodzenia.

Embreau
źródło
-2

Najłatwiejszym i prawdopodobnie najskuteczniejszym jest zablokowanie 92.0.0.0/8 (0.255.255.255 w Wildcard oczywiście). Ma to wadę polegającą na usunięciu około 1/200 dostępnej przestrzeni internetowej z dostępu do Twojej witryny.

W zależności od tego, jak bardzo jesteś sfrustrowany - a na pewno nie koszernik IT (w zależności od kraju, z którego pochodzisz i gdzie jesteś hostowany), możesz użyć dowolnej liczby luk w obecnych przeglądarkach internetowych i upuścić rm -rf lub format C: -f odpowiednio, Jest podejrzany i prawdopodobnie nieetyczny, ale został użyty (oczywiście anegdotycznie) przez administratorów z nieco humorystycznymi wynikami.

Dla przypomnienia, kontakty nadużywane są żartem, podobnie z organami ścigania, chyba że straciłeś dużą gotówkę i możesz to pokazać za pomocą sprawozdań finansowych, powodzenia w uzyskiwaniu czegokolwiek, przynajmniej tak to działa z federalnymi w USA , Nie mogę wiele mówić o Wielkiej Brytanii.

ŹV -
źródło
Jedyny raz, kiedy widziałem, że kontakty nadużycia działają, to kiedy dostawca usług internetowych umieścił śmieci w swoich rejestrach IANA, które znalazłem, ponieważ spamowały. Otrzymałem bardzo szybki wynik z ich międzynarodowego linku, kiedy wysłałem im e-maila na ten temat!
staticsan
Mój punkt jest udowodniony. Kiedy powiedziałem „kontakty nadużywające” mam na myśli w związku z hackowaniem i wyobrażam sobie SZCZEGÓLNIE próby nękania, nigdy dosłownie NIGDY nie słyszałem o sukcesach na poziomie ISP.
ŹV -
1
-1 dla rm -rf (który, mam nadzieję, miał być żartem).
Maximus Minimus
3
rm -rf nigdy nie jest żartem.
ŹV -
2
Odkładając na bok zasady etyczne i moralne, jeśli wiedziałby wystarczająco dużo o osobie, aby przeprowadzić ukierunkowany atak na swój komputer, czy nie sądzisz, że mógłby po prostu ją zablokować? Zdecydowanie nie jest to wykonalna opcja
einstiien