[ Pytanie - Dedyk] Zgłoszenia abuse - czy to poważna sprawa?

[seomajster 14]

Witam

 

Sposób w jaki użytkuje serwer dedykowany (skanowanie portów w poszukiwaniu proxy) kończy się dużą ilością zgłoszeń abuse (kilka, może kilkanaście dziennie, nie wiem jaka jest górna granica) przez co zazwyczaj właściciele serwerowni krzywo na mnie patrzą. W związku z tym chciałem się Was zapytać, czy zgłoszenia abuse takie jak wklejone poniżej, to poważna sprawa? Czy należy się tym przejmować, czy raczej szukać serwerowni gdzie to brzydko mówiąc oleją? Czy serwerownia może bez konsekwencji takie zgłoszenia ignorować?

 

2 przykłady zgłoszeń abuse które otrzymuje:

 

This email is from the IT Security Team at Utah State University.

This email describes suspicious and/or malicious network activity

that appears to be sourced from your network. We have included

IP Addresses as well as description, documentation, log snippets,

and other useful information about this event.

Please review this information and/or forward to the responsible person.

Thank you.

USU Network Security Team

Utah State University Information Technology

4410 Old Main Hill

Logan, UT 84322-4410

(435)797-1804

IP/CIDR Address: 91.207.4.250

Description:

91.207.X.X scanned 129.123.0.0/16 for multiple TCP ports.

Log Snippet (Timestamps are MDT or GMT -0600):

Date flow start Duration Src IP Addr Src Pt Dst IP Addr Dst Pt Flags Packets Bytes Proto

2014-07-28 00:25:15.911 0.000 91.X.X.X 12200 129.123.10.237 8000 ....S. 1 40 6

2014-07-28 00:25:15.929 0.000 91.X.X.X 12200 129.123.10.237 3127 ....S. 1 40 6

ITP...

#################################################################################

#################################################################################

You are receiving this message because you are listed as the contact

for the networks below.

This message is intended for the person responsible for computer

security at your site. If this is not the correct address, please

forward this message to the appropriate party.

Our logs show that malicious attempts were made from your network

against machines in our domain. This is definitely not an authorized

request and we view it as an attempt to probe our network for a

vulnerability.

Either your machine has been compromised and is now being used to

launch hostile activity, or a legitimate user is engaged in activity

that is probably in violation of your terms of service agreement. In

either case, please investigate this matter.

At the bottom of this message we have attached parts of our logs in

order to help you track down the perpetrator (All times are GMT-0000).

We would appreciate a reply that this note has been received.

Thank you,

CERT.br

http://www.cert.br/

########################################################################

# all times are GMT-00:00

# begin logs

Jul 26 03:25:09.008226 91.X.X.X > xxx.xxx.xxx.67.8888: S (src OS: unknown) 4557867:4557867(0) win 8192 (DF)

Jul 26 03:25:09.008236 91.X.X.X > xxx.xxx.xxx.66.8888: S (src OS: unknown) 4557866:4557866(0) win 8192 (DF)

Itp...

#######################################################################

Jeżeli ktoś chciałby mi złożyć jakąś ofertę co do serwera, chętnie przyjmę na pw. Nie potrzebuję silnego serwera, ale rurka 100 mbps bez limitu by się przydała (zapcham całą bez problemu).

Dziękuję

Edytowano Lipiec 31, 2014 przez seomajster (zobacz historię edycji)

[spindritf 240]

czy zgłoszenia abuse takie jak wklejone poniżej, to poważna sprawa? Czy należy się tym przejmować, czy raczej szukać serwerowni gdzie to brzydko mówiąc oleją? Czy serwerownia może bez konsekwencji takie zgłoszenia ignorować?

Większość dostawców, szczególnie mniejszych, nie będzie chciało takiej usługi u siebie nawet jeśli lokalne prawo na nią zezwala, bo to wiąże się z koniecznością obsługiwania takich zgłoszeń. Porozmawiaj z supportem swojego operatora i zapytaj, jakich działań oczekują z Twojej strony.

 

Trochę zależy też od tego, czy skanujesz na oślep, czy np. tylko użytkowników łączących się z Twoim serwerem IRC, oraz czy prowadzisz jakiś projekt, który jest powszechnie uznany za pożyteczny albo masz wsparcie jakiejś instytucji naukowej.

[Miłosz 2311]

Skanowanie może być uznane za naruszenie bezpieczeństwa systemu. Prawidłową reakcją jest zgłoszenie takiego zdarzenia.

Może też zostać potraktowane jako próba włamania i możesz mieć problemy.

[theONE 526]

Najwiekszy problem to koniecnosc odpowiadania na takie maile jezeli nie bedzie sie usuwac przyczyn problemu... Wiec zaczyna to pochaniac sporo czasu a i tak mozna oberwac / wpasc na jakies czarne listy.

[seomajster 14]

Najwiekszy problem to koniecnosc odpowiadania na takie maile

 

Mógłbyś mi powiedzieć dlaczego trzeba koniecznie odpowiadać na takie maile? Może to idiotyczne pytanie ale jestem lamerem w tej kwestii.

 

Już kilka razy dostałem maila w którym było napisane coś w stylu: skanuje pan klienta którego monitorujemy, blablabla, proszę przestać. IP klienta oczywiście się nie podzielą, na maile z zapytaniem o bloki IP jakie monitorują oczywiście nie odpowiadają ale ponowne zgłoszenia abuse będą wysyłać... ręce opadają.

[kafi 2425]

 

 

Mógłbyś mi powiedzieć dlaczego trzeba koniecznie odpowiadać na takie maile?

Koniecznie nie trzeba. Nie ma takiego ustawowego obowiązku.

Ale jak dysponent adresów IP będzie miał to w d...e to inni też go będą mieli w d...e i będą filtrować te prefiksy na swoich routerach brzegowych jako siedlisko zła. Nie mówiąc już o blacklistach takich jak Spamhaus, dzięki którym z takiej adresacji nie wyśle się praktycznie nigdzie maila (patrz opisywany niedawno na tym forum przykład ŚląskDataCenter).