上周,我不得不处理以下情况:我的一些用户抱怨说,他们收到电子邮件,告知他们的计算机已感染病毒,应前往某个网站进行免费扫描。进一步调查发现,该网站是一个典型的恶意软件传播网站:它会显示虚假的扫描窗口,并诱骗没有经验的用户下载木马。
通过 ping 域名,我得到了该网站的 IP 地址。该 IP 上的 whois 向我揭示了托管该恶意软件网站的托管公司。我已向他们的滥用团队发送电子邮件,指出该网站。他们选择忽略我的电子邮件,而该恶意软件网站目前仍在运行。
当然,我对这种态度感到很不高兴。我想听听你如何处理这种情况。我也想让你评论一下我的策略。
我的用户通过代理服务器访问互联网。该恶意软件网站现在已被屏蔽。但我想更进一步。我想找出托管公司托管的所有网站并屏蔽它们。您能建议一个工作流程和工具来执行这项研究吗?
答案1
目前,我对允许恶意软件托管在他们控制的 IP 上的提供商持相当矛盾的态度。如果你提出投诉,请给他们一点时间来回应。在像你这样的案例中,我看到了积极的结果。
我非常依赖 OpenDNS 来过滤恶意软件网站。他们对恶意软件网站的了解比我多得多,并且不断更新他们的数据库。
它是免费的,您可以调整其预置的过滤器并创建自己的过滤器。它们还提供了基于时间和位置的已屏蔽网站的漂亮图形表示。这对我们来说很有效,因为我们的办事处遍布美国各地。
答案2
您可以找出他们的网络范围并将其阻止,但请记住,whois 上的结果不一定代表托管该网站的公司。您可能会找到专用服务器提供商的网络范围的结果,该范围相对较大,阻止它也会阻止许多合法网站。有可能有一家规模较小的托管公司拥有其中一台专用服务器,托管着拥有此恶意软件网站的客户,这本身可能不是故意的,实际上是安全漏洞的结果。
您应该联系滥用电子邮件,但不要指望得到回复,尤其是不要指望很快得到回复。事情需要通过指挥链进行,因此服务器提供商将联系其客户,而其客户将不得不处理上述网站。
如果您想增加设置的复杂性,可以使用 Google 的安全浏览检查:http://www.google.com/safebrowsing/diagnostic?site=http://malware.testing.google.test/testing/malware/并从中提取信息,然后决定是否允许用户访问该网站。