Підозра на вразливість сервера чи даних та повідомлення про шахрайство


13

Наш бізнес YouGotaGift.com, інтернет - магазин подарункових карт, два дні тому хто - то створили веб - сайт , який викликається YoGotaGift.com (Ви не хапаєте на U ), і послали поштову кампанію для багатьох людей , що є просування сайту , коли ви перейдете на веб-сайт, ви (як професійні фахівці з інформаційних технологій) негайно визначите це шахрайським сайтом, багато людей все одно не захочуть, тому вони здійснюватимуть транзакцію на цьому сайті, і вони не отримають нічого, за що заплатили.

Тож ми перейшли в панічний режим, щоб спробувати розібратися, що робити, і що я зробив як CTO:

  1. Повідомляється про веб-сайт PayPal (єдиний спосіб оплати, доступний на сайті), але, очевидно, для закриття веб-сайту потрібен тривалий час і багато спірних транзакцій.
  2. Повідомляючи про веб-сайт компанії з реєстрації домену, вони співпрацювали, але для припинення веб-сайту потрібен законний наказ суду або ICANN.
  3. Повідомляли про веб-сайт хостинг-компанії, відповіді поки немає.
  4. Перевірили дані WHOIS, недійсні вони, вони скопіювали інформацію нашої компанії та змінили дві цифри в поштовому індексі та номері телефону.
  5. Повідомляли про веб-сайт місцевій поліції в Дубаї, але також потрібно багато часу і розслідувань, щоб заблокувати веб-сайт.
  6. Надіслали електронну пошту нашій клієнтській базі, в якій повідомляли, щоб вони були обізнані та завжди перевіряли, чи є вони на нашому HTTPS-сайті та перевіряють доменне ім’я, коли вони купують.

Моя головна стурбованість полягала в тому, що багато людей, які повідомили, що отримали електронне повідомлення (понад 10), знаходяться у нашому списку розсилки, тому я побоювався, що хтось отримав якусь інформацію з нашого сервера, тож я:

  1. Перевірив журнал доступу до системи, щоб переконатися, що ніхто не звертався до нашого SSH.
  2. Перевірив журнал доступу до бази даних, щоб переконатися, що ніхто не намагався отримати доступ до нашої БД.
  3. Перевірив журнал брандмауера, щоб переконатися, що ніхто не звертався до сервера.

Після цього моя стурбованість перейшла на поштове програмне забезпечення, яке ми використовуємо для надсилання нашої електронної пошти, раніше ми використовували MailChimp, і я не думаю, що вони отримали б доступ до нього, але зараз ми використовуємо Sendy , і я боявся, що вони отримали доступ до нього. , Я перевірив форум сайту і не міг виявити, що хтось повідомив про вразливість за допомогою Sendy, а також багато електронних листів, зареєстрованих у нашому списку розсилки, повідомили, що вони не отримали електронний лист від шахрайства, тому мені стало зручно, що до наших даних жоден орган не потрапив.

Отже, мої запитання :

  1. Що ще я можу зробити, щоб переконатися, що ніхто не отримав наш список розсилки чи дані?
  2. Що ще я можу зробити, щоб повідомити і, можливо, зняти сайт?
  3. Чи є список панічного режиму, коли ви підозрюєте про несанкціонований доступ до свого сервера чи даних?
  4. Як можна запобігти подібним випадкам у майбутньому?

6
Aaaaarghhh фоновий звук на веб-сайті .... 1999 зателефонував і хоче повернути їх сторінки.
Денніс Каарсемейкер

2
Заради ваших клієнтів, ви повинні повідомити про них за допомогою власної електронної кампанії, а також створити статус на своєму сайті. Ви повинні дати зрозуміти це у своєму електронному листі, що ваш власний сайт НЕ порушений, поки ви не зможете знайти додаткові докази.
Холодний T

@ColdT, що також може бути дуже контрпродуктивним: тепер ви спамуєте всіх своїх клієнтів, у тому числі тих, хто не отримував пошту від цих хитрощів.
Dennis Kaarsemaker

merry xmas: Не забудьте попросити бонус для себе та колеги за наслідки на такий #day

Мені сказали, що помилкова ціла інформація може бути достатнім приводом для усунення. Можливо, це найпростіший спосіб.
aif

Відповіді:


12
  • питання 2

Схоже, сервери імен та власний хост для YOGOTAGIFT.COM зареєстровані через ENOM, Inc. Сайт розміщено за адресою EHOST-SERVICES212.COM. Спробуйте надсилати як звіти про спам, так і повідомлення про відмову від DMCA на eNom та на хост сервера. Сторінка зловживання eNom - це http://www.enom.com/help/abusepolicy.aspx

  • питання 4: Honeytokens

Розмістіть свій список розсилки та базу даних з одним або декількома підробленими обліковими записами, які спрямовують на електронні адреси чи платіжні рахунки, якими ви керуєте.

Якщо ви отримуєте електронну пошту або кошти в підроблений рахунок, ви можете вважати, що список розсилки або база даних були порушені.

Дивіться статтю Вікіпедії про медотоки .


1
+1 для медотоків. Вони здаються чудовою невідомою особливістю!

Я вже подав звіт про спам до хостингової компанії (eNom), але їх відповідь, я отримав відповідь від них сьогодні, вони нічого не робитимуть. +1 для медоносів, але в мене вже є 6 листів у списку розсилки, і жодна не отримала електронну пошту від шахрая, тому мені було полегшено, що, ймовірно, вони не отримали список пошти.
mpcabd

7

Здається, ви зробили дійсно добре поки що.

Ось ще кілька підказок:

  • 1 Що ще можу зробити, щоб переконатися, що ніхто не отримав наш список розсилки чи дані?

Прочитайте журнал додатків, якщо такий є.

  • 2 Що ще я можу зробити, щоб повідомити і, можливо, зняти сайт?

Зверніться за адресою IP-адреси та зв’яжіться зі своїм Інтернет-провайдером (згідно з коментарями "дозвольте своєму адвокату скласти лист" про припинення та відмову "від листа, що загрожує юридичною дією"). У цьому випадку ENOM та DemandMedia.

whois 69.64.155.17

Повідомте про сайт шахрая якомога більше установ (mozilla, google, ...): Вони можуть додавати попередження у свої програми, щоб допомогти пом'якшити аферу.

Створіть на своєму веб-сайті виділену веб-сторінку, яка розповість про цю історію.

  • 3 Чи є список панічного режиму, коли ви підозрюєте про несанкціонований доступ до свого сервера чи даних?

Не забудьте також прочитати Як мені працювати з компрометованим сервером? . У цьому питанні є багато хороших порад, навіть якщо ваш сервер справді не був порушений.

  • 4 Як можна запобігти подібним випадкам у майбутньому? Навчіть свого клієнта про те, як ви зазвичай ведете себе (наприклад: "Ми ніколи не надсилатимемо вміст пошти безпосередньо, а швидше посилатимемо вам власну сторінку на нашому веб-сайті")

Я не думаю, що це компрометована системна проблема, якщо ОП не впевнена, що їх список розсилки порушений. Я думаю, що це лише традиційна робота з аферами - ловити людей, які неправильно написали адресу веб-сайту.
Роб Моїр

1
Додайте до @EricDannielou, якщо виявите, що Інтернет-провайдер знаходиться в тій же країні, що і ви, попросіть свого адвоката скласти лист "про припинення і відмову" від листа, що загрожує юридичною дією. 9 разів з 10, які опікуються питанням у джерела провайдера.
Течі Джо

4

Важко змайструвати спустошений / шахрайський сайт, не неможливо, але зазвичай дуже важко. Є такі сторони, як MarkMonitor, які можуть допомогти у цьому, але вони дорогі. Ми знайшли їх досить ефективними, особливо якщо шахрайство очевидно шахрайство / видання себе.


-1

Ось кілька пропозицій з мого боку

  1. Повідомте про інцидент DMCA.
  2. Зверніться до постачальника веб-хостингу і попросіть зняти його.
  3. Зверніться до ICANN і попросіть їх ввести доменне ім'я.
  4. Схоже, хтось ізсередини поділився вашим списком розсилки з конкурентом або може бути зламаний сервер. Дивіться обидві можливості.
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.