morene.host предоставляет сервера под брут, малвари и тд

а что у хостера нет возможности проверять абузы ? вы придерживаетесь позиции, пока фсб не ломает вашу дверь, пусть клиенты делают на ваших серверах что хотят, они ведь платят деньги ?

конечно нет. Откуда ? как ?

вот например пожаловались вы что ип х.х.х.х производит подбор пароля к вашему SSH.

Ну так заблокируйте его в iptables да и всё. И если хост реально "плохой" то почему жалобы приходят только от вас?

PS фсб не ломают двери, они отправляют официальный запрос и получают официальный ответ а дальше ведут свои оперативно розыскные мероприятия согласно регламенту при полном содействии хостинг компании.

team-voice, Конкретно вот этот пример не сосем корректен: ну заходим и смотрим, а куда же подключается этот указанный IP. Блин, как так, он подключается на 22 порт к куче IP в сети, блииин... Че ж делать то, не банить же его?! Ведь это может быть легитимный клиент, которого сломали (99.9%). Так что такие вещи проверять надо.

Как бы жалобы должны проверяться, когда есть таковая возможность, я считаю. Другое дело, если факт нарушения не проверяется и недоказуем... Но это уже другой вопрос.

А вот применительно к данной теме - мне сказать нечего, я тут не знаю, кто прав, а кто виноват, поэтому мнения нет.

такой подход может иметь место быть когда клиентов мало. И таких жалоб мало. А когда клиентов десятки а то и сотни тысяч а жалоб переваливает за 100 в сутки в работу включаются уже другие механизмы. Например агрегация абуз по типам на "IP" и вот когда их станет "условно" 3-5 типовых за короткий промежуток времени то именно такая абуза будет рассмотрена индивидуально.

Это как пример.

Компании выстраивают собственную политику обработки жалоб и в подавляющем большинстве случаев эта политика хорошо вписывается в действующее законодательство.

team-voice, Да вот я и говорю, что когда есть возможность. Хотя, некоторые вводят превентивные меры - если много подозрительной активности - блочат порты и просят объяснить - а чего ж, товарищ, ты постоянно всех сканируешь...

Был опыт? Расскажите.

Вот мой личный опыт. 2014 год. Звонок на мобильный.

"Здравствуйте. Вас беспокоят из такой-то службы. Нам нужно поговорить с вами. Где вы находитесь. Я сразу не поверил, мало ли шутка и отвечаю мол, если вы из этой службы, то знаете, где я)) Они переспросили по тому ли адресу я нахожусь. Я говорю, да приезжайте."

Я никогда не занимался никакой чернухой и сам всегда мониторю подобные активности, поэтому с чистой совестью ждал его приезда. В итоге оказалось, что на наших серверах некоторый период размещался известный кардингфорум. Сотрудник оказался не из отдела связанного с IT, понял по общению. Но надо признать хороший психолог и пытался втереться в доверия различными способами. Когда я ответил на вопросы о причастности (знал-не знал) к форуму, то он предложил пройти полиграф и я легко согласился. Но после моего согласия, видимо поняв, что я говорю правду, он свел это к шутке, мол я вам верю. Абуз нам не приходило, спрашиваю почему не написали абузу. Он говорит, что ведется оперативная работа и мы не хотим "спугнуть" жалобами этих людей. В итоге я ему отдал всю инфу из била по этому клиенту, но понятно же, что ребята грамотные и всё после себя подчистили, а данные все левые.

Поэтому меня веселит ваша позиция конкретно по бруту, мол нет абуз, можно ничего не делать или включать дурака как sinaro aka morene, что не в курсе :D

ps. А вот пруф того, что те кардингфорумы, которые "спокойно работают", под контролем спецслужб в той или иной степени.

Слив exploit 18.07.19

Разработка форумов велась очень долго. Основной движок - Xenforo. Первым делом были созданы проекты, которые обсуждают работу по данным движкам. Занимались нуллом плагинов, где вшивали свои бэкдоры.

Один из таких проектов висит в топе. Администрация теневиков искала бесплатные плагины, устанавливала себе, красные получали возможность логирования всех событий. В админке что я вам показал есть личная переписка, все логирование IP+ДАТА заходов, все изменения профилей, фингерпринты, чтобы отслеживать вас на разных форумах и привязывать к одной личности.

Таким образом добыли 3 форума, где логирование велось очень долго.

Два форума купили,около них оказались нужные люди, которые поставили свой код в движок. Первый - экспа, Второй - бхф.

Вот так информация собиралась. Администрация проектов об этом не знала. Виновата лишь в том, что не следит за кодом.

Кто собирал? Струтуры, которые будут реализовывать информацию по ключевым личностям. Это 50-100 человек.

Кто я? Стоял рядом.

Зачем показал и рассказал? Я один из вас.

Что на руках у меня? Кривой косой бэк админки для отслеживания.

Список слитых форумов : экспа, бхф, дарселлер, пробив(тут было весело, по 0day успел слить кто-то еще), промаркет, прокард, которые не поправили свои дыры.

https://www.shodan.io/host/185.162.130.141 промаркет прокрд до сих пор имеют уязвимость CVE-2019-10149. Можете воспользоваться. Тоже кстати украинцы.

Да опыта много, правда не по кардинг форумам.

Если быть откровенным то суть претензий мне не известна (причины обращения в запросах нет, просто текст аля "согласно закону номер такой то постановлению такому то просим предоставить). Запросы обычно носят характер "в целях ОРМ просим вас предоставить все известные данные по IP х.х.х.х.х, ответ направлять в такой то форме по такому то адресу в таком то виде"

подпись, печать.

Носитель информации всегда в виде заказного письма - бумага. Часто перед этим дублируют запрос в электронном виде для "ускорения". Но у вас совсем другая специфика бизнеса. Вероятнее всего с этим связан разный подход к работе с нами.

мы ведь предоставляем bare metal и технически не имеем возможности знать что именно работает на сданном в аренду физическом сервере.

team-voice, А анализ свичей те мониторинг трафика?

Или у Вас в РФ и нет DPI?

Хотел бы отдельно прокомментировать это.

Лично я, не обладаю глубокой компетенцией по юридическому вопросу ответственности хостинг провайдера / ЦОД за деятельность клиента в контексте брута.

ЦОД не правомерен своей волей определять "брут это или нет" законно это или нет.

взлом и неправомерный ДОСТУП к информации - да прямое нарушение закона. А вот подбор пароля... нет

Сканирование интернет на наличия сервиса так же не является нарушением закона РФ. (но тут я считаю всё же есть тонкая грань между сканированием сетей в поисках сервиса и сканированием сетей в поисках уязвимости)

В любом случае речь идет о ответственности клиента но не ЦОД. Но тут поидее тоже не всё так просто ибо есть нюансы с "группой лиц по предварительному сговору"

вообщем не всё так хорошо как думается и не всё так плохо как могло бы быть.

Это приятно слышать.

Информация действительно интересная. С таким порядком и подходом никогда не сталкивался. Шаред хостинг проект никогда не вел.

---------- Добавлено 23.07.2019 в 15:06 ----------

Мы же не про нас конкретно. Мы , да , можем посмотреть практически всё что не идет в шифрованном виде.

team-voice, Подсказываю, если будет очень надо интерполу или ФБР, OVH тоже может:)