Segnalazioni di abuso, i provider le leggono?

[cxcs]

Ciao a tutti.
Giorni fa mi è passato sotto mano questo articoletto Dear ISP, it's time to quarantine your malware-infected customers | ZDNet e devo dire che è arrivato come il cacio sui maccheroni a stimolare una discussione a cui tengo particolarmente.Chiunque nella sua carriera di sistemista o di amministratore di rete si è ritrovato a dover fare i conti con scanning, bruteforce e schifezze varie.Finchè si tratta di ip cinesi o brasiliani personalmente non perdo neanche tempo a scrivere al provider ma quando si tratta di realtà più vicine come le subnet di qualche provider francese, tedesco o italiano,beh la storia cambia.Sto parlando delle segnalazioni di abuso.I provider le leggono?Nel 95 per cento dei casi no.
Generalmente quando mi capita di rilevare scanning et similia se l'ip fa parte di un'organizzazione ben definita come un campus,un governo o un'azienda sono solerte nell'inviare una segnalazione,che comunque nella maggior parte dei casi rimane inascoltata.Poche volte ho ricevuto risposte definite ed ancora di meno ho trovato gente abbastanza collaborativa che si sedesse due minuti alla tastiera per spiegare alla vittima dell'abuso perchè e come sia potuto succedere.
Secondo voi i provider dovrebbero adottare tecniche più stringenti per rilevare ed analizzare abusi e segnalazioni?Parlo di provider di connettività così come di fornitori server.Mi piacerebbe conoscere le opinioni dei normali utenti e degli operatori del settore dato che qui ci sono molti provider.
Un salutone ed a presto.

[GrG]

Strano. A dire il vero io mi son sempre trovato molto bene con i vari abuse@ (a parte con quello di edizioni master, che era una mailbox inesistente). Spesso nessuna risposta ma nel giro di 48 ore gli scan finivano.

[cxcs]

Nel 100 per cento dei casi gli scanning finiscono perchè li blocca l'IDS o il firewall.Quando si tratta di desktop infetti (quando vedi le schifezze partire da un ip dinamico o residenziale) è diverso,si sa che può trattarsi di un semplice pc infetto ma quando si tratta di server importanti compromessi,parlo di scanning o bruteforce che partono da mail.pincopallo.it mi piacerebbe avere perlomeno una risposta da parte dell'amministratore dello stesso.Tu che dici?

[xAnder]

Può darsi che pincopallo.it non ci pensi neanche a leggere la mail abuse@

[GrG]

A volte si, ma son sicuro che in almeno la metà dei casi ci sia stato un intervento manuale da parte del provider, considerato che di solito uno scan continuo viene bloccato in automatico in 30 minuti fantascientificamente 60 minuti, se ci mettono 48 ore qualcosa a mano faranno.

Io personalmente vado più sul pratico e odio le risposte tipo "Grazie della segnalazione, ho risolto, se serve mi ricontatti" quindi mi basta che il problema sparisca. Del resto io ho fatto lo stesso, problemi con VPS vendute (non managed ovviamente), ricevevo la segnalazione zappavo tutto e non rispondevo.

Le palle mi son girate alla grande quando probabilmente il sistema newsletter di edizionimaster è stato bucato, ricevevo spazzatura a palla, ho scritto all'abuse e ho scoperto che la mail non esisteva.

[EvolutionCrazy]

ma tu in genere contatti l'abuse del provider oppure provi anche a contattare chi ha servizi su quella macchina?

io mi limito a droppare... se dovessi segnalare tutto a tutti passerei le giornate a scrivere mail agli abuse :/

[Uno]

Ho segnalato a dei freehosting che avevano delle c99 e simili sui loro siti.
Non mi hanno risposto ma ho visto che le hanno segate.

Evo generalmente anche io lascio perdere, ma era un periodo che dagli stessi siti mi arrivavano tentativi di connessione in continuo, mi sono rotto e ho segnalato.

[GrG]

Se becco qualche bot mostro da spam in PHP su un hosting apro la homepage del sito e se trovo un contact scrivo lì oltre che al provider spesso è molto meglio far spaventare a morte il proprietario del sito, è più veloce.

[Uno]

Quelli che ho segnalato non erano siti, erano spazi free senza altro che c99, r75 etc...

[GrG]

Byethost è il capo di questi lavori.

Infatti spessissimo è irraggiungibile perchè Cogent e GBLX li falciano direttamente sull'atlantico.

[Antonio]

Se becco qualche bot mostro da spam in PHP su un hosting apro la homepage del sito e se trovo un contact scrivo lì oltre che al provider spesso è molto meglio far spaventare a morte il proprietario del sito, è più veloce.

Concordo

[GrG]

Keywords: legge, legale, azione, avvocato, ma soprattutto RISARCIMENTO.

[FlameNetworks]

A noi è successo non molto tempo fa, da un IP di Hetzner (un server dedicato).

Ho mandato il report alla loro mailbox abuse@ e nel giro di poche ore mi hanno risposto che avevano bonificato quel server.

In tanti altri casi però non abbiamo mai avuto riscontri, se non la classica mail automatica di ricezione dell'issue.

Ciao,

Fabrizio

[cxcs]

ma tu in genere contatti l'abuse del provider oppure provi anche a contattare chi ha servizi su quella macchina?

io mi limito a droppare... se dovessi segnalare tutto a tutti passerei le giornate a scrivere mail agli abuse :/

Beh la quantità di spazzatura che circola in rete è incredibile,ovvio che non puoi passare le nottate a contattare i provider,in genere mi limito a segnalare i casi più gravi,esempio server italiani bucati e cose simili.Oltre a blacklistare l'ip è importante sensibilizzare gli admin più pigri.