在 AWS 上运行的应用程序使用 SES 向新客户发送验证电子邮件。攻击者注册该网站并将验证电子邮件报告为滥用行为。 我想知道有什么办法可以应对这种攻击。这会导致 SES 滥用指标上升。 到目前为止,我已经识别出他的模式并采取了应对措施,但这确实提出了一个严肃的问题,即如何总体处理这种情况。 使用 Cloudflare 的机器人保护确实可以防止机器人的攻击,但攻击者可能会付钱给别人手动执行此操作。 封锁雅虎和 Verizon 等未充分审查其客户的提供商。到目前为止,所有攻击都来自这些提供商,因此永久列入黑名单可能会有效,但我认为这只会延迟不可避免的事情发生...
我有一个网络应用,在菲律宾没有用户,但却不断受到垃圾邮件发送者、测试卡的卡片发送者和其他不良活动的轰炸。我在日志中看到,他们的 IP 在菲律宾,最初是通过 google.ph 或其他.ph网站找到我的网站的。 我已经安装了相当好的过滤器和安全检查,所以它们实际上不会造成太大的损害,但尽管如此,我真的厌倦了。它们占用带宽,用垃圾填满我的数据库、滥用日志和安全日志,浪费我的时间处理帐户等。 虽然绝大多数菲律宾公民都不是垃圾邮件发送者,我也不能屏蔽每个让我感到厌烦的国家,但目前,我认为解决方案就是屏蔽从菲律宾到我的网络应用程序的所有流量。(我知道屏蔽整个国家的...
我们有一台来自 Hetzner 的专用服务器,我们用它来为用户提供 nat vps,我们面临的问题是用户(我们不知道如何跟踪)正在尝试网络扫描,因此我们的专用服务器的 ipv4 互联网访问权限被锁定。有人能告诉我们可以尝试什么来阻止网络扫描吗?以下是我们收到的电子邮件截图中的问题示例: 滥用邮件 ...
在阅读我们的日志时,我发现几个似乎正在扫描我们的网络应用程序上的漏洞的请求。 2021-09-25T17:32:44.164858+00:00 app[web.1]: 54.39.216.121 - - [25/Sep/2021:17:32:44 +0000] "GET /wp-includes/js/jquery/jquery-migrate.min.js HTTP/1.1" 404 136 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Geck...
我用 UFW 将服务器配置为阻止除 22、80 和 443 之外的所有端口。然后我创建了一条 fail2ban 规则,将每个扫描端口失败超过 5 次的 IP 关进监狱,并将其报告给 AbuseIP。 经过一些调整后,它到目前为止运行良好,但我注意到我的端口 27015 被报告了很多次,而我似乎是唯一一个报告的 IP,例如:https://www.abuseipdb.com/check/72.76.108.239 您认为什么原因可能导致这种情况?我怀疑该服务器的前任所有者将其用于一些 Steam 游戏服务器,但我不确定。 ...
伙计们,我有多台安装了 OpenVPN 的服务器,由于 PlayStation 网络的滥用报告,它们都被暂停了。现在,我假设我的 VPN 客户端正在尝试破解 PlayStation 帐户,对吗?我想做的是阻止 VPN 流量到所有 PlayStation URL。问题是没有特定的 IP 可以阻止!他们使用 GeoDNS,根据用户的位置提供来自不同 IP 的数据。我在这里能做什么?是否有完整的 PlayStation IP 列表可以阻止?或者我可以阻止对这些 URL 的访问吗? auth.api.sonyentertainmentnetwork.com nati...
我的服务器 (Unix) 出现了奇怪的问题。有几家供应商报告说我的服务器正在使用 SSH 协议向他们的服务器发送恶意请求。 我已经检查了 /var/log 下的系统日志,但什么也没发现。您能指导我如何阻止我的服务器执行这些恶意活动吗? 以下是从不同供应商收到的日志,抱怨您的服务器正在发送这些请求 *May 10 05:20:03 shared05 sshd[18300]: Invalid user dmcserver from 217.138.XX.YY port 41630 May 10 05:20:...
我正在运行一个装有 Ubuntu 20.04 的 VPS。昨天我收到 VPS 提供商的通知,他们收到了一份指向我服务器 IP 的滥用报告。经过一番来回沟通后,他们要求报告者提供一些日志并将其发送给我: https://pastebin.com/FdZc5WH0 我检查了所有可能有点相关的日志,但没有任何与这些请求相关的内容。我进行了大量恶意软件/rootkit扫描,但仍然一无所获。 我开始觉得这是 IP 欺骗的情况……这是现实情况吗?我的 VPS 提供商是否应该能够检查是否是这种情况? ...
在运行一些服务器时,我注意到 SSH 暴力登录尝试次数逐年增加。fail2ban 是一款非常棒的工具,可以大大降低这些尝试的速度,并且可以发送电子邮件至 abuse-mailbox/OrgAbuseEmail通过自动查询 RIPE 数据库来获取网络管理员的 IP 范围。 登录尝试大多源自我信任的至少有兴趣打击滥用行为的公司网络(而不是海外的一些防弹服务器)。 暴力登录尝试是否被视为滥用? 由于我不是任意客户的托管提供商,而只是服务器管理员,因此我不知道作为托管提供商我是否会简单地忽略/删除这些自动电子邮件,或者我是否会采取行动。就我个人而言,我从未收到...
我收到了来自 dnsbl.de 运营商的一条滥用信息。在我看来,这似乎与我无关,但由于这太严重了,我不想做“猜测”并检查它是否真的与我有关。 我得到了什么 以下是应该通过我的服务器发送的邮件的摘录(IP 地址用占位符替换): Return-Path: <[email protected]> Received: from vicibox7.suse (static.12-34-56-78.example.tld [12.34.56.78] (may be forged)) by topixx1.b2.powerweb.de ...
我经营着一个简单的代理/通用网站,我和几个朋友同时使用kerenua.xyz然而,从三周前开始,大量流量开始从数百个(唯一)IP 地址涌入。 在“使用量”高峰期,该流量达到200 Mbps! 分析 apache2 access.log 后,可以看出这些请求是通过网站上名为“miniProxy”的 Web 应用程序发送到“akamaihd.net”的子域(CDN)。 每个请求都是针对某种 .m3u8/.ts 文件 - 'prog.m3u8' 'master_600.m3u8' 'master_1200_175739.ts' 此外,尽管这些文件很小,但每个 HT...
所以我拥有www.example.com。我有一个指向我 IP 的 A 记录,还有一个 CNAMEwww. 显然我的 IP 是共享的,因为如果我访问它,我就会被带到www.domain.com 无论如何,上周我在 Google 上搜索了www.example.com,它被编入了索引,www.domain.com指向我的 IP。我猜是某种恶意的 SEO 抓取网站? 这让我想到了这篇文章网站管理员交流,我在其中实现了所示的 Perl 脚本。现在,当我用 Google 搜索我的域名时,blackhat 仍然会出现,即使你点击它,页面也会显示 404,如下所示...
几周前,当有人试图暴力破解我的 SSH 时,我在我的服务器上激活了自动滥用报告邮件,我这样做是因为我每周平均收到 3000 个垃圾邮件 IP。 但今天,我的 ISP 给我发了一封邮件,说有人举报我发送垃圾邮件。我检查了服务器的所有活动,确认除了滥用邮件外,我没有发送任何邮件。我禁用了此功能,因为此案尚未解决。 有人知道法律对此有何规定吗?滥用报告邮件会被归类为垃圾邮件吗? 编辑:主要问题是,发送到 ISP 滥用邮箱的滥用报告 (XARF) 是否可以归类为垃圾邮件。如果这是投诉的原因(我的服务器没有损坏),...
我的 Python 服务器(运行 Flask、uWSGI 和 NGinx)目前收到大量 GET 请求,我猜测这些请求是 PHP 黑客攻击和漏洞利用。以下是我从日志中提取的一些请求: "GET /dbadmin/index.php HTTP/1.1" 404 "GET /web/phpMyAdmin/index.php HTTP/1.1" 404 "GET /admin/pma/index.php HTTP/1.1" 404 "GET /admin/PMA/index.php HTTP/1.1" 404 "GET /admin/mysql/index.php...
几天前,我收到了 Hetzner 数据中心的滥用通知。我的服务器似乎正在接受网络扫描。我不明白的是,为什么目的地是本地网络 IP?这是什么意思,我该如何阻止它?以下是他们发给我的电子邮件: 2018 年 6 月 15 日星期五 21:02:46 TCP 我的服务器 IP 33342 => 192.168.1.122 7 2018 年 6 月 15 日星期五 21:02:46 TCP 我的服务器 IP 33249 => 192.168.1.123 7 2018 年 6 月 15 日...