Servidores hostigados por un individuo en constante cambio de IP


10

Corremos un producto comunitario. Hay un individuo (un pequeño niño de PoS) en el Reino Unido que acosa a nuestro sitio durante los últimos 6 meses. Su tarea diaria es crear una nueva cuenta, publicar un montón de contenido ilegal / inflamatorio, obtener un aumento de las personas, y luego ser eliminado en unas pocas horas por un administrador. Entonces repite.

Su dirección IP cambia cada vez que crea una nueva cuenta (ya sea usando un proxy u otra herramienta similar). Lo único común es el nivel superior 92.xxx Hemos intentado contactar a las autoridades del Reino Unido ... aunque están interesados, no han proporcionado nada procesable. Mientras tanto, este acoso continúa diariamente.

¿Alguien tiene experiencia en cómo matar esto? Estoy casi al borde de mi ingenio aquí y espero que alguien que haya lidiado con esto antes pueda brindar alguna orientación.

Gracias de antemano.


¿Qué tipo de sistema operativo está usando?
Patrick R

¿Hay alguna posibilidad de que el UserAgent sea identificable o haya algún tipo de patrón en las solicitudes web?
Dscoduc

Redhat 5, LAMP stack.

1
Espero que sea RHEL 5 y no Red Hat 5.0, que es antiguo ...: P
Avery Payne

Puede probar iwf.org.uk o contactar al UK CERT ukcert.org.uk para ver si pueden proporcionar mejores contactos en el ISP o un contacto apropiado de la aplicación de la ley del Reino Unido si las publicaciones son tan malas.
Sim

Respuestas:


18

En lugar de bloquearlo, puede emplear un enfoque diferente: creo que lo escuché en uno de los podcasts de SO, y / o tal vez SO también lo use.

No elimine la cuenta y las publicaciones, solo haga que sean visibles solo para esta cuenta y nadie más. El niño continuará intentándolo mientras juegas su juego. Si ve que sus comentarios no se eliminan, puede perder interés. Puede dejar los comentarios visibles para toda la subred 92.xxx, con la esperanza de que nunca se dé cuenta y no ofenda a otros usuarios.


Me gusta ese enfoque, Sunny. +1
Patrick R

+1 Sí, esto es radicalmente bueno
Oskar Duveborn

Muy creativo. Me gusta mucho =)
Wesley

2
Agradable. Pero, ¿cómo se implementaría esto? Dado que los ataques provienen de 92/8, ¿configuras alguna publicación de 92/8 para que solo sea visible en 92/8? ¿Qué pasa con las personas decentes en 92/8?
Paul

3
¿Esperar a que haga una nueva cuenta y la aplique a esa cuenta en lugar de prohibirla por completo? Sí, hará algunas cuentas más, pero es probable que si no se lo "prohibe" con frecuencia, no haga demasiadas.
Frenchie

4

Si está disponible, puede intentar aprobar nuevas cuentas o aprobar la primera publicación de una cuenta recién creada.


Convenido. Este es el tipo de razón para tener publicaciones moderadas.
John Gardeniers

2

Intentaría rastrear (tracert) una de las direcciones IP hasta el proveedor, buscar un correo electrónico / número de contacto de abuso para el proveedor e informar la dirección IP.

Si el usuario está en una red pública, está prácticamente en un callejón sin salida, pero si se trata de una empresa o residencia, entonces puede solicitar una consulta sobre la propiedad de la dirección IP.


Hemos hecho esto, y el ISP es (generalmente) carphonewarehouse. Dada la naturaleza vil de lo que publica este niño (piense en dañar a los niños, animales y otros con increíble detalle), esperábamos que ejemplos + direcciones IP + tiempos de acceso fueran suficientes para motivarlos. Han reconocido haber recibido los datos, pero mientras tanto seguimos viéndolo todos los días.

1

92.0.0.0 está bajo la autoridad de RIPE , así que busque la IP específica en la base de datos RIPE y encontrará qué red tiene el control directo de esa IP. Luego puede informarlos a los canales adecuados para ese rango.


1

Bloquear una red completa parece un poco exagerado. ¿Podría cambiar su sitio a solo lectura durante una o dos semanas? Si es solo un niño para sacar sus alegrías, se aburrirá y seguirá adelante.

También existe la posibilidad de que pueda ser causado por una pieza de malware en la máquina de una persona totalmente inocente. Eso siempre debe verse como una posible fuente de este tipo de ataque. Parece un poco improbable que un ser humano lleve a cabo un ataque tan sostenido durante ese período de tiempo; diariamente durante 6 meses completos es bastante extremo.

Yo votaría por un CAPTCHA fuerte en la creación de nuevas cuentas (y en cualquier instalación de registro no registrada que pueda tener) y la aprobación de nuevas cuentas (aunque podría ayudarlo si sucede de manera continua). Eso debería captar ambas posibilidades potenciales.


El OP ya ha indicado que esto ha estado sucediendo durante 6 meses, por lo que esta persona en particular no se aburre demasiado fácilmente. Más es la pena.
John Gardeniers

0

En lugar de bloquear completamente el acceso a la red 92/8, puede ser suficiente bloquear la creación de nuevas cuentas (o requerir la aprobación del administrador).

Esto evitaría el daño colateral de aquellas personas en esa red que visitan su sitio (y que ya tienen cuentas).


0

Ninguna de las sugerencias dadas te ayudará.

Este tipo de personas ejecuta spywares / malwares que les están abriendo PC en todo el planeta, ni siquiera consideren bloquear IP o bloques de IP y esperar resultados a largo plazo.

Ahora solo tienes uno de ellos, lo cual es genial, imagina lo que sería si fueran 10 o más.

Tienes que cambiar la forma en que funciona tu aplicación.

Aquí hay algunas ideas:
- Si la cuenta no tiene al menos 24 horas de antigüedad
- Registrada en Yahoo, Gmail, Hotmail / MSN.

Evite las respuestas o haga que las acepten los administradores.

Pero, en primer lugar, probablemente podría ajustar su nuevo registro de usuarios.
Un buen ejemplo es que los spammers a menudo se registran usando cortar y pegar o incluso bots, a menudo cometen ENORMES errores que se pueden ver directamente en el registro como:

  • Minúscula nombre, nombre, ciudad, ...
  • Contraseñas fáciles

Mira el registro hecho por este tipo, deberías encontrar cosas así. Si encuentra alguno, aplíquelo en el registro. Esto hará que corrija todo esto para registrarse. Lo que le estaba tomando 30 segundos, ahora le llevará minutos, como la mayoría de las personas. Solo asegúrate de no castigar a todos los nuevos usuarios con esto.

Opcionalmente, podría considerar tener algún tipo de filtro en una base de datos para todos los comentarios. Si se marca un comentario, se elimina, advierte al usuario o requiere la aprobación de los administradores.

Akismet podría hacer el trabajo o al menos una buena parte de él. Si no ejecuta Wordpress, use una API para el idioma que usa su aplicación.

Probablemente obtendrá mejores resultados con muchos pequeños cambios que con una solución radical.

Buena suerte.


-2

Lo más fácil y posiblemente más efectivo es bloquear 92.0.0.0/8 (0.255.255.255 en comodín, por supuesto). Esto tiene la desventaja de eliminar aproximadamente 1/200 del espacio de Internet utilizable para acceder a su sitio.

Dependiendo de lo frustrado que esté, y ciertamente no es IT-kosher (dependiendo de qué país es y dónde está alojado), podría usar cualquier cantidad de vulnerabilidades presentes en los navegadores web disponibles hoy y soltar rm -rf o formato C: -f apropiadamente, es sombrío y probablemente poco ético, pero los administradores lo han utilizado (anecdóticamente, por supuesto) con resultados algo graciosos.

Solo como una nota, los contactos de abuso son una broma, al igual que con las fuerzas del orden público, a menos que haya perdido mucho dinero en efectivo y pueda mostrar esto con estados financieros, buena suerte para obtener algo, al menos así es como funciona con los federales en los EE. UU. , No puedo hablar mucho hacia el Reino Unido.


La única vez que he visto trabajar a contactos abusivos es cuando un ISP ha puesto basura en sus registros de IANA, lo que encontré porque estaban enviando spam. ¡Obtuve un resultado muy rápido de su enlace internacional cuando les envié un correo electrónico al respecto!
staticsan

Mi punto está probado. Cuando dije 'contactos de abuso' quiero decir en relación con el pirateo e imagino ESPECIALMENTE intentos de acoso, nunca, literalmente, NUNCA he oído hablar de éxito en el nivel de ISP.
ŹV -

1
-1 para el rm -rf (que espero fue una broma).
Maximus Minimus

3
rm -rf nunca es una broma.
ŹV -

2
Dejando a un lado la ética y la moral, si él supiera lo suficiente sobre la persona para configurar un ataque dirigido contra su PC, ¿no cree que podría bloquear a la persona? Definitivamente no es una opción viable
2010
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.