Jump to content
Sign in to follow this  
cxcs

Segnalazioni di abuso, i provider le leggono?

Recommended Posts

Ciao a tutti.

Giorni fa mi è passato sotto mano questo articoletto Dear ISP, it's time to quarantine your malware-infected customers | ZDNet e devo dire che è arrivato come il cacio sui maccheroni a stimolare una discussione a cui tengo particolarmente.Chiunque nella sua carriera di sistemista o di amministratore di rete si è ritrovato a dover fare i conti con scanning, bruteforce e schifezze varie.Finchè si tratta di ip cinesi o brasiliani personalmente non perdo neanche tempo a scrivere al provider ma quando si tratta di realtà più vicine come le subnet di qualche provider francese, tedesco o italiano,beh la storia cambia.Sto parlando delle segnalazioni di abuso.I provider le leggono?Nel 95 per cento dei casi no.

Generalmente quando mi capita di rilevare scanning et similia se l'ip fa parte di un'organizzazione ben definita come un campus,un governo o un'azienda sono solerte nell'inviare una segnalazione,che comunque nella maggior parte dei casi rimane inascoltata.Poche volte ho ricevuto risposte definite ed ancora di meno ho trovato gente abbastanza collaborativa che si sedesse due minuti alla tastiera per spiegare alla vittima dell'abuso perchè e come sia potuto succedere.

Secondo voi i provider dovrebbero adottare tecniche più stringenti per rilevare ed analizzare abusi e segnalazioni?Parlo di provider di connettività così come di fornitori server.Mi piacerebbe conoscere le opinioni dei normali utenti e degli operatori del settore dato che qui ci sono molti provider.

Un salutone ed a presto.

Share this post


Link to post
Share on other sites

Strano. A dire il vero io mi son sempre trovato molto bene con i vari abuse@ (a parte con quello di edizioni master, che era una mailbox inesistente). Spesso nessuna risposta ma nel giro di 48 ore gli scan finivano.

Share this post


Link to post
Share on other sites

Nel 100 per cento dei casi gli scanning finiscono perchè li blocca l'IDS o il firewall.Quando si tratta di desktop infetti (quando vedi le schifezze partire da un ip dinamico o residenziale) è diverso,si sa che può trattarsi di un semplice pc infetto ma quando si tratta di server importanti compromessi,parlo di scanning o bruteforce che partono da mail.pincopallo.it mi piacerebbe avere perlomeno una risposta da parte dell'amministratore dello stesso.Tu che dici?

Share this post


Link to post
Share on other sites

A volte si, ma son sicuro che in almeno la metà dei casi ci sia stato un intervento manuale da parte del provider, considerato che di solito uno scan continuo viene bloccato in automatico in 30 minuti fantascientificamente 60 minuti, se ci mettono 48 ore qualcosa a mano faranno.

 

Io personalmente vado più sul pratico e odio le risposte tipo "Grazie della segnalazione, ho risolto, se serve mi ricontatti" quindi mi basta che il problema sparisca. Del resto io ho fatto lo stesso, problemi con VPS vendute (non managed ovviamente), ricevevo la segnalazione zappavo tutto e non rispondevo.

 

Le palle mi son girate alla grande quando probabilmente il sistema newsletter di edizionimaster è stato bucato, ricevevo spazzatura a palla, ho scritto all'abuse e ho scoperto che la mail non esisteva.

Share this post


Link to post
Share on other sites

Ho segnalato a dei freehosting che avevano delle c99 e simili sui loro siti.

Non mi hanno risposto ma ho visto che le hanno segate.

 

Evo generalmente anche io lascio perdere, ma era un periodo che dagli stessi siti mi arrivavano tentativi di connessione in continuo, mi sono rotto e ho segnalato.

Share this post


Link to post
Share on other sites

Se becco qualche bot mostro da spam in PHP su un hosting apro la homepage del sito e se trovo un contact scrivo lì oltre che al provider spesso è molto meglio far spaventare a morte il proprietario del sito, è più veloce.

Share this post


Link to post
Share on other sites

Byethost è il capo di questi lavori.

 

Infatti spessissimo è irraggiungibile perchè Cogent e GBLX li falciano direttamente sull'atlantico.

Share this post


Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
Sign in to follow this  

×