rssLink RSS dla wszystkich kategorii
 
icon_orange
icon_red
icon_red
icon_blue
icon_blue
icon_blue
icon_green
icon_red
icon_blue
icon_blue
icon_blue
icon_blue
icon_blue
icon_blue
icon_blue
icon_blue
icon_red
icon_blue
icon_orange
icon_red
icon_blue
icon_blue
icon_blue
icon_blue
icon_green
icon_blue
icon_blue
 

FS#10390 — Działania przeciwko p2p, spam, malware

Przydzielony do projektu— Aktualności
Modernizacja
Aktualności
ZAMKNIĘTE
100%
Od tygodnia prowadzimy prace przeciwko osobom, które traktują
nasze serwery jako 'przechowalnię' dla plików niezgodnych z
prawem, a także wysyłają z nich duże ilości spamu. Są one
prowadzone w 3 płaszczyznach: walka z p2p, oprogramowaniem
malware oraz spam'em.


P2P

Według naszych obliczeń jedynie ok. 400 serwerów z 40 tys.
maszyn ogólnie prowadzi wymianę nielegalnych plików w różnej
formie. Skala zjawiska nie jest duża, ale chcemy walczyć z
tendencją, że kupno niedrogiej maszyny niesie małe ryzyko
dla klientów.

Problem występuje w 2-3% przypadków, gdy klient uruchamia
na serwerze narzędzia, umożliwiające PUBLICZNY dostęp do
wymiany plików, ponieważ taki jest jego "zawód", lub jest
początkującym administratorem. W 2 przypadkach, OVH będzie
nadal interweniować, aby nie dopuszczać do takiego wykorzystywania
infrastruktury.

Otrzeżenia przechodzą przez nasze systemy monitoringu.
W przypadku publicznych łącz wystarczy 5 sekund, aby sprawdzić,
co dokładnie proponuje klient.

Ostrzeżenia, które otrzymujemy będą bezpośrednio przesyłane
do klientów, których dotyczą. Po przekroczeniu 3 ostrzeżeń,
serwer zostanie zawieszony z możliwością odzyskania danych
ale koniecznością przeinstalowania maszyny. Jeżeli sytuacja
powtórzy się, będziemy interweniować, ale tym razem zawiesimy
serwer z jednoczesnym wypowiedzeniem umowy. Klient będzie
mógł odzyskać dane.


SPAM

Po wyeliminowaniu hakerów (163 serwery zamknięte do tej pry),
wpłat bez pokrycia (60% wpłat mniej w ciągu 1 tygodnia),
ataków (żadnego od 5 dni), p2p, zajmujemy się także spamem.

Według naszych statystyk zaledwie 158 serwerów
generuje alerty o spamie. To niedużo patrząc na to,
że obsługujemy około 40.000 serwerów. Jednak ten problem
musi zostać również rozwiązany.

Mamy zaufanie do SpamCop.net, jeśli chodzi o alerty o spamie.
Jeśli macie problem ze spamem pochodzącym z naszej sieci,
przkażcie informacje na spamcop.net. Najszybciej i najprościej
jest wysłać email na abuse@ovh.net.

Będziemy działać stopniowo. Wszystkie ostrzeżenia SpamCop
będą przekazywane Klientom. Jeżeli w przedziale 24 godzin
otrzymamy więcej niż 3 ostrzeżenia, lub więcej niż 5 ostrzeżeń
w przedziale 5 dni, będziemy blokować IP, z którego są wysyłane
maile (bezpośrednio na poziomie routera). Klient będzie miał możliwość
usunąć blokadę w managerze i po 5 minutach powrócić do normalnego trybu.
Jeżeli otrzymamy kolejne ostrzeżenia ( więcej niż 3 w przedziale 24 godzin,
lub więcej niż 5 w ciągu 5 dni), będziemy ponownie blokować IP.
Jeżeli dane IP będzie blokowane, wiecej niż 5 razy w ciągu 30 dni,
serwer zostanie zablokowany.

Przygotowujemy narzędzie, umożliwiające kontakt między
Spamcop a klientami OVH oraz blokowanie i odblokowywanie
poprzez managera. Narzędzia będą gotowe w ciągu 10 dni.


MALWARE

Walczymy także z "malware" (Malicious Software).
Chodzi o małe programy/pliki, które można pobrać przez internet.
Chodzi o backdoor, który pozwala spamerom uzyskać dostęp do Waszych
komputerów domowych/biurowych i używania ich do rozsyłania spamu.
Sieci hakerów używają tysięcy komputerów na świecie do tego rodzaju
działalności. Często używają swojej sieci do rozsyłania URL z "malware"
do pobrania. To pozwala im powiększyć swoją sieć.

Do hostowania i pobierania "malware", spamerzy wykorzystują strony WWW,
które udało im się zaatakować dzięki dziurom w zabezpieczeniach. Przykładowo
dzięki dziurze w zabezpieczeniach PHPMyAdmina moga po około 3 sekundach
utworzyć, zmienić lub usunąć pliki w przestrzeni dla WWW. Oni nie usuwają
strony lub jej nie niszczą. Po prostu dołączają ukrytą stronę z linkiem do
pobrania, skrypt java, który wymaga odpowiedzi "Tak" i linkiem do pobrania.
A następnie rozsyłają tysiące spamu z nowym URL.

Hosting wirtualny:
------------------------
Otrzymujemy alerty o "malware" od SpamCop. Sprawdzamy je
pobierając treść i weryfikujemy, czy dotyczą "malware", czy
wirusów. Następnie informujemy Klienta i blokujemy tymczasowo
stronę (wiedząc, że dziura w zabezpieczeniach może spowodować
usunięcie strony). Teraz będziemy automatycznie blokować stronę,
której problem dotyczy. Jeżeli właściciel nie zareaguje w ciągu
48 godzin, zablokujemy tymczasowo cały serweris, aby uniknąć
jego usunięcia.

Serwery dedykowane i RPS:
---------------------------
Otrzymane alerty będziemy przekazywać do Klientów. Jeżeli Klient nie
zareaguje w ciągu 24 godzin, zablokujemy tymczasowo cały serwer.
Klient będzie mógł przywrócić działanie serwera za pomocą trzech
kliknięć, a następnie zrobić porządek na serwerze.
Data:  wtorek, 05 sierpień 2008, 15:40
Powód zamknięcia:  Done