- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Сразу к сути претензии:
Mar 3 19:08:38 vmd30300 postfix/smtpd[9205]: warning: unknown[194.61.24.129]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Mar 3 19:08:38 vmd30300 postfix/smtpd[9205]: lost connection after AUTH from unknown[194.61.24.129]
Mar 3 19:08:38 vmd30300 postfix/smtpd[9205]: disconnect from unknown[194.61.24.129] ehlo=1 auth=0/1 commands=1/2
Mar 3 19:08:38 vmd30300 postfix/smtpd[9228]: connect from unknown[194.61.24.129]
Mar 3 19:08:46 vmd30300 dovecot: auth-worker(9203): sql(info@mir-otelej.ru,194.61.24.129): Password mismatch
Mar 3 19:08:48 vmd30300 postfix/smtpd[9228]: warning: unknown[194.61.24.129]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Mar 3 19:08:48 vmd30300 postfix/smtpd[9228]: lost connection after AUTH from unknown[194.61.24.129]
Mar 3 19:08:48 vmd30300 postfix/smtpd[9228]: disconnect from unknown[194.61.24.129] ehlo=1 auth=0/1 commands=1/2
Вот таких вот строчек - дохрена и больше.
Как я это понимаю:
Человек (или машина - мне плевать, если честно), брал и с IP 194.61.24.129 честно пытался залогиниться на адрес info@mir-otelej.ru. У него это не получалось, по причине Password mismatch. Он снова пытался, у него снова не получалось. Судя по тому, что это происходило каждую секунду, это была машина. Но сути это не меняет - эту машину настроил человек. А даже если это результат работы вируса - значит кто-то запустил вирус на хостинговый компьютер.
whois 194.61.24.129
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '194.61.24.0 - 194.61.27.255'
% Abuse contact for '194.61.24.0 - 194.61.27.255' is 'abuse@erahost.pro'
inetnum: 194.61.24.0 - 194.61.27.255
netname: RU-ERAHOST-20181031
country: NL
org: ORG-EL322-RIPE
admin-c: DM16416-RIPE
tech-c: DM16416-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-by: mnt-ru-erahost-1
mnt-lower: mnt-ru-erahost-1
mnt-routes: mnt-ru-erahost-1
created: 2018-10-31T12:17:55Z
last-modified: 2018-10-31T12:17:55Z
source: RIPE
organisation: ORG-EL322-RIPE
org-name: ERA LLC
org-type: LIR
address: 63-65
address: 10117
address: Berlin
address: GERMANY
admin-c: DM16416-RIPE
tech-c: DM16416-RIPE
abuse-c: AR48981-RIPE
mnt-ref: mnt-ru-erahost-1
mnt-by: RIPE-NCC-HM-MNT
mnt-by: mnt-ru-erahost-1
created: 2018-10-30T08:35:24Z
last-modified: 2018-11-02T06:36:45Z
source: RIPE # Filtered
phone: + 7 981 806 88 91
person: David Melnik
address: Unter den Linden 1
address: 10117
address: Berlin
address: Germany
phone: +49 30 2291144
nic-hdl: DM16416-RIPE
mnt-by: mnt-ru-erahost-1
created: 2018-10-30T08:35:23Z
last-modified: 2018-11-02T09:12:39Z
source: RIPE
% Information related to '194.61.24.0/23AS38994'
route: 194.61.24.0/23
descr: erahost.pro
origin: AS38994
mnt-by: mnt-ru-erahost-1
created: 2018-11-02T09:54:53Z
last-modified: 2018-11-02T09:54:53Z
source: RIPE
% This query was served by the RIPE Database Query Service version 1.92.6.2 (HEREFORD)
Уважаемый Давид Мельник, соответствующую подсеть я заблокировал. Если я ещё раз увижу подобную "деятельность" и хуиз покажет ваше фамилию и имя - напишу во все надзорные органы! Налицо реальные попытки взлома (легко доказывается логами).
Хотелось бы здесь услышать представителя erahost.pro и получить разъяснение.
А чего им напрямую не написали? Или это школо-хосто-пиар такой?
Не проще скинуть лог на abuse@erahost.pro ? Хостер за всеми не может уследить. Ну запустил кто-то скрипт, с кем не бывает. Не ясно чего вы его руками заблокировали, файрволл не настроен?
Какие истерии. Пишите сразу президенту, чего там какие-то надзорные органы! Это не слыхано кто-то подбирает пароли! Ужас, что в интернете твориться!
---------- Добавлено 03.03.2019 в 21:55 ----------
Мастер дедукции! А если кто-то вирус запустил, значит кто-то его написал! А если запустили на компьютере, значит кто-то этот компьютер купил!
Что-то пиар так себе ;)
Нужно было дописать, что хостер на абузы не отвечает, потому что он "абузоустойчивый", "пуленепробиваемый" и "гранатоневзрываемый"
Почему-то серчане часто переходят на личности по поводу и без повода. Особенно их распаляют узнаваемые ФИО. Юридически org-name: ERA LLC, ничем не отличается от org-name: Hetzner AG. Но я сильно сомневаюсь, что подобное высказывание прозвучало бы в адрес хетцнера. Вызывает вопросы проявления подобного пафоса. Не есть ли это проявление раболепства перед всем "западным"? Недавно тут еще pinspb гнобили за примерно такое же.
Тут уже сказали, что источником атаки может являться взломанный сайт клиента ERA LLC.
И в то же время, сколько было тут жалоб на хостеров, которые приостанавливали услуги за рассылку спама, тот же брутфорс, скан сетей и т.п. и т.д. т.е. заботились как раз о том, чтобы не создавать проблемы как для своих клиентов, так и для всех пользователей интернета и сохранять свои ресурсы в чистоте и порядке.
Понятно, что люди в общем-то существа шкурные и их мало что интересует кроме собственного интереса, но всё же надо же и меру знать...
rustelekom,
Почему-то серчане часто переходят на личности по поводу и без повода.
По-вашему попытка взлома - недостаточный повод?
Но я сильно сомневаюсь, что подобное высказывание прозвучало бы в адрес хетцнера.
Не сомневайтесь. Надо будет - напишу.
Понятно, что люди в общем-то существа шкурные
На себя в первую очередь посмотрите.
надо же и меру знать...
давайте я куплю у вас вдс, и с него начну беспощадно пытаться взламывать почтовые акки! а потом, когда вы меня заблокируете (совершенно справедливо), я скажу вам - ну надо же меру знать!
Тут уже сказали, что источником атаки может являться взломанный сайт клиента ERA LLC.
Это я понимаю, но сайт же на ERA LLC? Или в наше время хостер вообще ни за что не отвечает? Типа у него сайт хостится, который взломали, с него рассылают спам, пытаются взламывать акки, а хостеру по барабану? Это вы хотите сказать?
P.S. Соответствующую претензию на адрес, который дали выше, скинул. Тему пока попрошу прикрыть и не засорять ненужными рассуждениями.
По-вашему попытка взлома - недостаточный повод?
так именно хостер пытался вас взломать? или кто-то, кто хостится у хостера?
так именно хостер пытался вас взломать? или кто-то, кто хостится у хостера?
Что там ломать? там гсайт с рекламой и 5 посетителями в сутки, хз что там на почте info@ кроме спама можно найти.
PS. Я первым делом на сервер ставлю fail2ban и не вижу смысла в таких топиках, всегда кто то что то будет пытаться подобрать/взломать и что там еще. Не лень, написали хостеру и молодцы, но уже притензии на серч выносить эт что то с чем то =)
rustelekom,
По-вашему попытка взлома - недостаточный повод?
Не сомневайтесь. Надо будет - напишу.
На себя в первую очередь посмотрите.
давайте я куплю у вас вдс, и с него начну беспощадно пытаться взламывать почтовые акки! а потом, когда вы меня заблокируете (совершенно справедливо), я скажу вам - ну надо же меру знать!
Это я понимаю, но сайт же на ERA LLC? Или в наше время хостер вообще ни за что не отвечает? Типа у него сайт хостится, который взломали, с него рассылают спам, пытаются взламывать акки, а хостеру по барабану? Это вы хотите сказать?
P.S. Соответствующую претензию на адрес, который дали выше, скинул. Тему пока попрошу прикрыть и не засорять ненужными рассуждениями.
Да таких попыток "взлома" 100500 биллионов в день. Баним просто и всё. Некоторые подключают fail2ban а у него есть подключение к общей базе из которой автоматически рассылаются абузы по хостерам которым принадлежат айпи адреса.
Хостер отвечает, именно поэтому и банят аккаунты т.н. "невинных" клиентов:) Но, чтобы побанили нужно написать хостеру, потому что со стороны хостера, даже если это скрипт находящийся на его хостинге (а не ВПС или того пуще - выделенный сервер, куда хостер доступа не имеет вообще) отличить такой запрос от легитимного проблематично, а в некоторых странах даже попытки это сделать запрещены по закону (контроль трафика). После получения жалобы хостер пересылает жалобу клиенту для принятия мер, как правило даётся 24 часа на это. Не ответил клиент - тогда уж бан до получения объяснений.
Вы же не первый год в интернете, просто сильно удивился, что для вас примитивный брутфорс оказался настолько чрезвычайным событием что это заслужило столь пафосной темы.
---------- Добавлено 03.03.2019 в 20:45 ----------
давайте я куплю у вас вдс, и с него начну беспощадно пытаться взламывать почтовые акки! а потом, когда вы меня заблокируете (совершенно справедливо), я скажу вам - ну надо же меру знать!
Да и говорят, на полном серьезе. Наглость города берёт. Но это как я уже написал - свойство человеческой натуры и пытаться это исправить бесполезно.
Всяко бывает. Знаю известного украинского хостера, чьи ребята или хлопцы по найму регались на моих сайтах и пытались пропихнуть ссылки на этот хостинг. Не рефки, а обычные ссылки. Казалось бы нафига?)) У него сайт на домене info.