# Форум на русском языке  > Решения по информационной безопасности  > Антиспам  >  Защита сайта от клеветы

## InnaSun

Привет всем! Попробую в двух словах описать проблему. Так вот - мой сайт три раза блокировали.   :Sad:   С 13 по 15 февраля, с 22 февр. по 6 марта и с 9 марта по сегодняшний день. Хостер говорит, что он не при делах. И наш домен заблокировал регистратор за спам. Но мы ничего не рассылали. Выяснилось, что рассылались письма, в которых говорилось о детской порнографии, и которые подписывались адресом нашего сайта. Как можно себя обезопасить от таких подстав? Может, кто знает? Ящик, с которого велась рассылка - несвязанный набор букв. И хостер не сообщает IP адрес спамера. А страдаем мы. Подскажите, что делать? Мы в полной растерянности.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## pig

Увы, обезопасить себя от спамеров, подделывающих обратные адреса, невозможно. Если регистратор этого не понимает - меняйте регистратора, потому что жизни с ним вам не будет.

P.S. IP спамера тоже левый - рассылка идёт через сеть компьютеров-зомби, к организатору рассылки никакого юридического отношения не имеющих.

----------


## RiC

> Привет всем! наш домен заблокировал регистратор за спам. Но мы ничего не рассылали.


Для начала получить *полную* копию письма с этим спамом, из заголовков письма можно выяснить откуда оно было в действительности отправлено, потом разбираться дальше ...

----------


## InnaSun

Вот одно из писем, которое переслал нам хостер:
_____________________________
Return-Path:
[email protected]
Received:
from agava.mipt.ru (gw.domain [192.168.1.80]) by ultra.domain 
 (8.13.3/8.12.6) with ESMTP id k1E123Yp046641 for 
[email protected]in>; Tue, 14 Feb 2006 04:02:03 +0300 (MSK) 
 (envelope-from [email protected])
Received:
from gate.agava.net.ru (gate.agava.net.ru [195.161.118.106]) by 
agava.mipt.ru (Postfix) with ESMTP id 4022772E1C1 for 
<[email protected]>; Tue, 14 Feb 2006 04:01:45 +0300 (MSK)
Received:
by gate.agava.net.ru (Postfix, from userid 426) id 70AAE18851E; Tue, 
14 Feb 2006 03:46:43 +0300 (MSK)
Received:
from spambayes (gate.agava.net.ru [195.161.118.106]) by 
localhost.gate.agava.net.ru (Postfix) with ESMTP id 37E911870D1 for 
<[email protected]>; Tue, 14 Feb 2006 03:46:43 +0300 (MSK)
Received:
from mailhub (gate.agava.net.ru [195.161.118.106]) by 
localhost.gate.agava.net.ru (Postfix) with ESMTP id 056671870B6 for 
<[email protected]>; Tue, 14 Feb 2006 03:46:43 +0300 (MSK)
Received:
from vmx1.spamcop.net (vmx1.spamcop.net [204.15.82.27]) by 
gate.agava.net.ru (Postfix) with ESMTP id 66055187131 for 
<[email protected]>; Tue, 14 Feb 2006 03:46:42 +0300 (MSK)
Received:
from sc-app4.ironport.com (HELO spamcop.net) (204.15.82.23) by 
vmx1.spamcop.net with SMTP; 13 Feb 2006 16:58:15 -0800
Received:
from [67.182.184.218] by spamcop.net with HTTP; Tue, 14 Feb 2006 
00:58:15 GMT
Precedence:
list
Идентификатор:
<[email protected]>
X-SpamCop-sourceip:
83.18.41.102
X-Mailer:
Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en) AppleWebKit/417.9 (KHTML, 
like Gecko) Safari/417.8 via http://www.spamcop.net/ v1.517
[ SpamCop V1.517 ]
This message is brief for your comfort.  Please use links below for details.
Spamvertised web site: http://www.sunmulti.com
http://www.spamcop.net/w3m?i=z165733...033acbdee68ddz
http://www.sunmulti.com is 81.176.65.247; Tue, 14 Feb 2006 00:57:03 GMT
> [ Offending message ]
"From [email protected] Mon Feb 13 08:52:39 2006"
Return-path: <[email protected]>
Received: from mac.com (smtpin21-en2 [10.13.11.249])
by ms73.mac.com (iPlanet Messaging Server 5.2 HotFix 2.03 (built Nov 22 2004))
with ESMTP id <[email protected]> for x; Mon,
13 Feb 2006 08:52:39 -0800 (PST)
Received: from avp102.internetdsl.tpnet.pl
(avp102.internetdsl.tpnet.pl [83.18.41.102])
by mac.com (Xserve/smtpin21/MantshX 4.0) with SMTP id k1DGqZRx029511	for
<x>; Mon, 13 Feb 2006 08:52:38 -0800 (PST)
Received: from lujxhfwfd by avp102.internetdsl.tpnet.pl with local
(Exim 4.60 (FreeBSD))	id 1F8gvT-000MX3-1L	for x; Mon,
13 Feb 2006 17:51:47 +0100
Date: Mon, 13 Feb 2006 17:51:47 +0100
From: [email protected]
Subject: With the Valentine's day!
Sender: User lujxhfwfd <[email protected]>
To: x
Message-id: <[email protected]>
Content-type: text/plain; charset=us-ascii
Content-transfer-encoding: 7BIT
Original-recipient: rfc822;x

The best children's porno on http://www.sunmulti.com
The most sweet and young girls of Russia.
Age of models from 12 years.
The best poses. Extremely Good porn! Hardcore XXX videos all FREE
I'm 19 and I have a webcam in my bedroom. Look At Me!
Strippers
Adult Gifts
Adult
Sex Toy
Adult Toy
Dildo
Phone Sex
Condoms
Porn Star
Sexe
Adult Video
Aphrodisiacs
Swinger
Fetish
Bondage
Gay Sex
Gay Porn
Lesbian Sex
Anal Sex
Cyber Sex
Group Sex
Big Dick
Penis Enlargement
Sex Search
All on http://www.sunmulti.com
P.s: For viewing adult contents, you should be registered on a site.
_______________________________________________

www.sunmulti.com - наш сайт, agava - наш хостер.
Какую полезную информацию можно получить из этого письма?

----------


## pig

М-мяв... Я-то было подумал, что, как обычно, ваш домен использован для фиктивного обратного адреса. А это на самом деле клевета и подстава. Вряд ли это обычный спам - там всё-таки либо реальный "товар" рекламируют, либо на на троянские сайты заманивают. Если на вашем сайте закладок не наделали, то на традиционный вопрос "кому выгодно?" ответ один: конкуренты. Я думаю, что есть основание для обращения в милицию. Если сайт чистый, то вас подставляют целенаправленно и спокойно жить не дадут. Это война.

Только сначала тщательно проверьте содержимое сайта. Можете у хостера попросить помощи, они как-никак тоже заинтересованная сторона.

P.S. Ещё одна бредовая версия выскочила: где-то живёт подставной DNS, на котором прописан фальшивый www.sunmulti.com
Хотя, на мой непросвещённый взгляд, слишком изощрённо для порнодельцов.

----------


## InnaSun

> Я думаю, что есть основание для обращения в милицию.


Мы тоже так думаем, и завтра, т.е. утром уже идем.




> подставной DNS


Объясни, пожалуйста, что это такое?

Искренне рада, что хоть кто-то нас поддерживает и понимает. А то остались наедине с проблемой, даже хостер отмораживается. *pig,* спасибо.

----------


## pig

DNS - имеется в виду сервер доменных имён, который транслирует символические имена в IP-адреса. Атаки с выдачей фальшивых IP-адресов по реальным именам вполне возможны, но для гарантированного притока клиентов на порноресурс не годятся, эффективность у них низкая.

----------


## MOCT

есть еще одна мысль - ссылку в письме оформили как {a href="http://черт знает куда"}http://www.sunmulti.com{/a}

а что за содержание было на сервере? где его сейчас можно посмотреть?

----------


## pig

> ссылку в письме оформили


Приведённый образец вроде как plain text... Хотя он уже в таком страшном виде, что непонятно, где кончается оригинал и каким он был на самом деле.

----------


## InnaSun

http://www.sunmulticom.38.com1.ru/ - вот ссылка по которой можно просмотреть сайт, строго не судите, проект только начали воплощать.
Для нас важен сам адрес www.sunmulti.com.
Обратились сегодня в милицию, отправили в прокуратуру, там все руками разводят. Никто не знает, что делать с нашим заявлением. Но мы не отступаем, будем обращаться в администрацию нашего города, в отдел по защите прав.
Может кто сможет проверить сайт на взлом, т.е. может его кто-то взломал?

----------


## MOCT

> Обратились сегодня в милицию, отправили в прокуратуру, там все руками разводят. Никто не знает, что делать с нашим заявлением. Но мы не отступаем, будем обращаться в администрацию нашего города, в отдел по защите прав.


а Вы в _ту_ милицию ходили? вообще этим должен отдел "К" заниматься.




> Может кто сможет проверить сайт на взлом, т.е. может его кто-то взломал?


вообще для этого желательно иметь доступ к php-скриптам. а так по внешним признакам не понятно ничего.

----------


## InnaSun

> отдел "К"


??? Объясни, пожалуйста.

----------


## MOCT

> ??? Объясни, пожалуйста.


спец. отдел в милиции по борьбе с преступлениями, связанными с высокими технологиями (компьютерами, сетями, телефонами).

----------


## InnaSun

Ну вот и отлично. Теперь будем искать этот отдел у нас в городе. Спасибо за информацию.

----------


## MOCT

> Ну вот и отлично. Теперь будем искать этот отдел у нас в городе. Спасибо за информацию.


звоните (или приходите) в ГУВД. там скажут телефон или куда приходить. заявление пишите сразу в двух экземплярах. первый отдадите им, а на втором распишутся в приеме от Вас заявления.

----------


## pig

Есть ещё одна версия, о которой я как-то сразу не подумал. Не купили ли вы случайно домен, отягощённый историей? Может, это его прошлое аукается?

Хотя у такого проекта просто обязаны быть амбициозные конкуренты.

----------


## MOCT

> Есть ещё одна версия, о которой я как-то сразу не подумал. Не купили ли вы случайно домен, отягощённый историей? Может, это его прошлое аукается?


я так понял, что спам продолжает идти (в настоящем времени). а кому нужно раскручивать уже мертвый сайт?
да и название сайта ничего не говорит о принадлежности к порно-индустрии.

----------


## pig

Мне сегодня припилило: "Лучшие подарки к 8 марта!" Так что возможно всё. Спам суть индустрия; кому-то дали заказ на определённый объём рекламы, он его отрабатывает, и плевать, что рекламодатель уже накрылся, если деньги заплачены. До сих пор в спаме попадаются телефоны с кодом 095.

Вообще-то я в эту версию тоже не очень верю, но правила детективного сюжета обязывают.

----------


## MOCT

> Мне сегодня припилило: "Лучшие подарки к 8 марта!" Так что возможно всё.


да что спам - у нас такое по телевидению показывают!
 :Smiley: 




> Спам суть индустрия; кому-то дали заказ на определённый объём рекламы, он его отрабатывает, и плевать, что рекламодатель уже накрылся, если деньги заплачены. До сих пор в спаме попадаются телефоны с кодом 095.


код такой тоже видел. хотя может это для конспирации и обхода фильтров? или по незнанию подавших рекламу? спамеры они же суть обезьяны - что дали, то и разошлют. только некоторые генерируют меняющуюся от письма к письму рекламу, но это в основном их собственная.




> Вообще-то я в эту версию тоже не очень верю, но правила детективного сюжета обязывают.


да, детективный сюжет затягивает. особо интересно - кто и как будет проводить расследование и чем все закончится.

----------


## InnaSun

У Агавы запрашивали данные о регистраторе, наконец-таки прислали мыло, по которому с ним можно связаться. Вот что пришло от регистратора:

Hello,

SUNMULTI.COM was cancelled on March 9, 2006 due to invalid  Whois
information. Our records show the information was not updated within the
timeframe specified in the notification sent to you on February 14, 2006.
Consequently, the domain was cancelled as per the Registration Agreement.

You may wish to contact customer support at 480.505.8877 if you interested
in registering the domain name.

Thank you,
Domain Services

Вот так. По ходу нашего домена уже нет. Хотя Агава молчит. А при покупке хостинга, они обязались предоставить домен и регулировать отношения с регистратором. Я так понимаю, Агава должна была все уладить...

----------


## Xen

Регистратор тоже Агава? Вы заключали с ними договр или обошлись публичной офертой? Что написано в договоре по поводу регистрации домена и о информационной поддержке о предоставляемых услугах?

Ответив на эти вопросы, сами уже решите, что делать и на кого катить бочку  :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## pig

Регистратор (который реально домен зарегистрировал, а потом прибил) забугорный, вот и выпендривается. Претензии у него, как я понимаю, к Агаве - на Whois выдаётся их регистрационная информация. Если именно Агава обещала регистрацию домена, то пусть выясняет и исправляет.

----------


## MOCT

> Вот так. По ходу нашего домена уже нет. Хотя Агава молчит. А при покупке хостинга, они обязались предоставить домен и регулировать отношения с регистратором. Я так понимаю, Агава должна была все уладить...


а у Вас точно был хостинг и имя оплачены? до какого срока?

----------


## Xen

Пока ответа нет. А актуальность хуиз инфы в серьезном проекте сейчас стала штукой обязательной...

----------


## InnaSun

> а у Вас точно был хостинг и имя оплачены? до какого срока?


Да, все оплачено до июня месяца этого года, и квитанции есть.



> Если именно Агава обещала регистрацию домена, то пусть выясняет и исправляет.


В том то и дело, что Агава отвечает неохотно, т.е. приходят ответы только на единицы писем, которыми мы закидываем службу технической поддержки.

Оказывается, регистратором является компания WILD WEST DOMAINS, INC.

----------


## MOCT

> В том то и дело, что Агава отвечает неохотно, т.е. приходят ответы только на единицы писем, которыми мы закидываем службу технической поддержки.


Агава - те еще %[email protected]#$.
У знакомого стерли весь контент сайта, учетную запись, а потом даже не извинились и объяснили все ошибкой сотрудника.

----------


## InnaSun

У нас тоже, возмущению нет предела. В цивилизованных странах так не позволительно работать с клиентами.
А заявление уже в прокуратуру отнесли.

----------


## pig

Московскую площадку для хостинга специально выбирали? Я сходу несколько не въехал, на кого портал больше рассчитан - на своих или же как рекламный ресурс на всю Россию. Если первое, то разумнее пристроиться к крупному местному провайдеру - он ещё может ваш сайт включить в перечень ресурсов, доступных пользователям местной (региональной) сети, если таковая имеется. А если второе, то, как ни странно, лучше хоститься в Штатах - а то как начнут опять московские провайдеры гордостью меряться, и пропадёт ваш сайт для половины страны.

----------


## orvman

> У знакомого стерли весь контент сайта, учетную запись, а потом даже не извинились и объяснили все ошибкой сотрудника.


 А хостинг платный? Если платный - то можно смело иск подавать. Оформить доки - типа я забашлял 10 000 зеленых тугриков за контент верстальщику, дизайнеру и т.д., а его нет (контента), Вы стерли - возвращайте обратно или платите - выриант 100%, знакомые сталкивались, правда не с агавой, а за бугром, иск не подавали, просто письмецо откатали - заплатили траншами по 2900 несколько раз через вестерн юнион.... Даже если и вернут все на место, то и тут вариант есть - типа из ситуации "у меня тут контракты были, клиент приходил на сайт, хотел подписать контракт и т.д. (доказательства прилагаются) а сайта нет, теперь клиент меня не уважает и конракт подписал с другим" и т.д. и т.п. - итог - статья РФ насчет неполученной прибыли (типа такого, точного названия не помню)...
А вот если все бесплатно - то там так и прописано в соглашении (где-то в регистрации) - типа "ответственности не несем". Тут только посочувствовать можно.

----------


## MOCT

> А хостинг платный? Если платный - то можно смело иск подавать. 
> А вот если все бесплатно - то там так и прописано в соглашении (где-то в регистрации) - типа "ответственности не несем". Тут только посочувствовать можно.


хостинг был платный. только теперь уже поздняк - время уже упущено. да и желания возиться с этим у знакомых я не видел.

----------


## Xen

Повторюсь, если планируется серьезный проект, то все договора на предоставление услуг хостинга, регистрацию доменного имени и т.д. надо оформлять по всем рулезам, на бумаге, с подробными приложениями об ответственности сторон, конкретными сроками того-другого и т.д.

А ситуации типа "мы перевели 200 вмз хз куда, зарегали домен хз на кого... etc.. а теперь у нас геморрои" разруливаются довольно проблематично, если одна из сторон - крупный сервис, позволяющий себе плевать на отдельно взятых клиентов.

----------


## Ольга Игошина

От имени Агавы могу сказать, что мы в попытках помочь нашему клиенту писали и звонили регистратору - безрезультатно (что было весьма предсказуемо). 
Собственно, все, кто с регистраторами сталкивался, хорошо знают, что WWD серьезные ребята, они на разборки, кто кого подставил, время тратить не будут, им ничего не докажешь  :Cry:  
И мы владельцам заблокированного домена с самого начала советовали с ними не связываться, а зарегистрироваться в ру домене. 
Ребят, вы приняли другое решение и мы тут, к сожалению, бессильны. 
Я могу вам предложить составить на английском обращение к ВВД с описанием ситуации подставы (желательно, аргументировать :Wink:  ), мы его переправим регистратору, поставив вас в копию. Но, имхо, это как соломинка утопающему и особо на это рассчитывать не стоит.
Наиболее реалистичное решение - зарегистрировать новый домен и жить дальше, мы-то вам хостинг не закрывали, всем, что вы оплатили, вы можете спокойно пользоваться. 
И быть аккуратнее !!! - не знаю, чем вы и кому насолили, но подобная ситуация, если не ошибаюсь, уже третий(!!) раз повторяется. А то получается некузяво: у вас какие-то свои разборки, аж несколько подозреваемых, вы на кучу форумов оставили свои жалобы на нас (с какой, кстати, целью? опять спам?  :Smiley:  и Агаву теперь полоскают почем зря, при том что нашей вины тут нет никакой и мы все, что могли, сделали. Грустно это все, да.

----------


## Xen

> WWD серьезные ребята, они на разборки, кто кого подставил, время тратить не будут, им ничего не докажешь


Работаю с регистраторами и реселлерами регистраторов уже несколько лет. И упомянутую ситуацию считаю НЕ нормальной. Регистрар, заботящийся о своем клиенте, разбирает каждый конкретный абуз. Но это уже оффтоп немного пошел...

----------


## InnaSun

Ну вот, набрались сил и готовы к новому проекту. Подскажите, пожалуйста, какой хостинг и регистратора выбрать? Чтобы не повторилась ситуация как с Агавой?

----------


## Xen

estdomains.com
esthost.com

----------


## Geser

Этот форум расположен на http://www.icdsoft.com За почти 2 года никаких нареканий. Всё работает как часы. Если подходят параметры - очень советую. Если решитесь на этот хостинг - черкните в личку, можно сделать скидку небольшую.

----------


## InnaSun

Огромное спасибо за советы  :Wink:

----------

