-
Защита сайта от клеветы
Привет всем! Попробую в двух словах описать проблему. Так вот - мой сайт три раза блокировали. С 13 по 15 февраля, с 22 февр. по 6 марта и с 9 марта по сегодняшний день. Хостер говорит, что он не при делах. И наш домен заблокировал регистратор за спам. Но мы ничего не рассылали. Выяснилось, что рассылались письма, в которых говорилось о детской порнографии, и которые подписывались адресом нашего сайта. Как можно себя обезопасить от таких подстав? Может, кто знает? Ящик, с которого велась рассылка - несвязанный набор букв. И хостер не сообщает IP адрес спамера. А страдаем мы. Подскажите, что делать? Мы в полной растерянности.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Увы, обезопасить себя от спамеров, подделывающих обратные адреса, невозможно. Если регистратор этого не понимает - меняйте регистратора, потому что жизни с ним вам не будет.
P.S. IP спамера тоже левый - рассылка идёт через сеть компьютеров-зомби, к организатору рассылки никакого юридического отношения не имеющих.
-
-
Сообщение от
InnaSun
Привет всем! наш домен заблокировал регистратор за спам. Но мы ничего не рассылали.
Для начала получить полную копию письма с этим спамом, из заголовков письма можно выяснить откуда оно было в действительности отправлено, потом разбираться дальше ...
-
-
Вот одно из писем, которое переслал нам хостер:
_____________________________
Return-Path:
[email protected]
Received:
from agava.mipt.ru (gw.domain [192.168.1.80]) by ultra.domain
(8.13.3/8.12.6) with ESMTP id k1E123Yp046641 for
[email protected]in>; Tue, 14 Feb 2006 04:02:03 +0300 (MSK)
(envelope-from [email protected])
Received:
from gate.agava.net.ru (gate.agava.net.ru [195.161.118.106]) by
agava.mipt.ru (Postfix) with ESMTP id 4022772E1C1 for
<[email protected]>; Tue, 14 Feb 2006 04:01:45 +0300 (MSK)
Received:
by gate.agava.net.ru (Postfix, from userid 426) id 70AAE18851E; Tue,
14 Feb 2006 03:46:43 +0300 (MSK)
Received:
from spambayes (gate.agava.net.ru [195.161.118.106]) by
localhost.gate.agava.net.ru (Postfix) with ESMTP id 37E911870D1 for
<[email protected]>; Tue, 14 Feb 2006 03:46:43 +0300 (MSK)
Received:
from mailhub (gate.agava.net.ru [195.161.118.106]) by
localhost.gate.agava.net.ru (Postfix) with ESMTP id 056671870B6 for
<[email protected]>; Tue, 14 Feb 2006 03:46:43 +0300 (MSK)
Received:
from vmx1.spamcop.net (vmx1.spamcop.net [204.15.82.27]) by
gate.agava.net.ru (Postfix) with ESMTP id 66055187131 for
<[email protected]>; Tue, 14 Feb 2006 03:46:42 +0300 (MSK)
Received:
from sc-app4.ironport.com (HELO spamcop.net) (204.15.82.23) by
vmx1.spamcop.net with SMTP; 13 Feb 2006 16:58:15 -0800
Received:
from [67.182.184.218] by spamcop.net with HTTP; Tue, 14 Feb 2006
00:58:15 GMT
Precedence:
list
Идентификатор:
<[email protected]>
X-SpamCop-sourceip:
83.18.41.102
X-Mailer:
Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en) AppleWebKit/417.9 (KHTML,
like Gecko) Safari/417.8 via http://www.spamcop.net/ v1.517
[ SpamCop V1.517 ]
This message is brief for your comfort. Please use links below for details.
Spamvertised web site: http://www.sunmulti.com
http://www.spamcop.net/w3m?i=z165733...033acbdee68ddz
http://www.sunmulti.com is 81.176.65.247; Tue, 14 Feb 2006 00:57:03 GMT
> [ Offending message ]
"From [email protected] Mon Feb 13 08:52:39 2006"
Return-path: <[email protected]>
Received: from mac.com (smtpin21-en2 [10.13.11.249])
by ms73.mac.com (iPlanet Messaging Server 5.2 HotFix 2.03 (built Nov 22 2004))
with ESMTP id <[email protected]> for x; Mon,
13 Feb 2006 08:52:39 -0800 (PST)
Received: from avp102.internetdsl.tpnet.pl
(avp102.internetdsl.tpnet.pl [83.18.41.102])
by mac.com (Xserve/smtpin21/MantshX 4.0) with SMTP id k1DGqZRx029511 for
<x>; Mon, 13 Feb 2006 08:52:38 -0800 (PST)
Received: from lujxhfwfd by avp102.internetdsl.tpnet.pl with local
(Exim 4.60 (FreeBSD)) id 1F8gvT-000MX3-1L for x; Mon,
13 Feb 2006 17:51:47 +0100
Date: Mon, 13 Feb 2006 17:51:47 +0100
From: [email protected]
Subject: With the Valentine's day!
Sender: User lujxhfwfd <[email protected]>
To: x
Message-id: <[email protected]>
Content-type: text/plain; charset=us-ascii
Content-transfer-encoding: 7BIT
Original-recipient: rfc822;x
The best children's porno on http://www.sunmulti.com
The most sweet and young girls of Russia.
Age of models from 12 years.
The best poses. Extremely Good porn! Hardcore XXX videos all FREE
I'm 19 and I have a webcam in my bedroom. Look At Me!
Strippers
Adult Gifts
Adult
Sex Toy
Adult Toy
Dildo
Phone Sex
Condoms
Porn Star
Sexe
Adult Video
Aphrodisiacs
Swinger
Fetish
Bondage
Gay Sex
Gay Porn
Lesbian Sex
Anal Sex
Cyber Sex
Group Sex
Big Dick
Penis Enlargement
Sex Search
All on http://www.sunmulti.com
P.s: For viewing adult contents, you should be registered on a site.
_______________________________________________
www.sunmulti.com - наш сайт, agava - наш хостер.
Какую полезную информацию можно получить из этого письма?
Последний раз редактировалось InnaSun; 23.03.2006 в 15:59.
-
-
М-мяв... Я-то было подумал, что, как обычно, ваш домен использован для фиктивного обратного адреса. А это на самом деле клевета и подстава. Вряд ли это обычный спам - там всё-таки либо реальный "товар" рекламируют, либо на на троянские сайты заманивают. Если на вашем сайте закладок не наделали, то на традиционный вопрос "кому выгодно?" ответ один: конкуренты. Я думаю, что есть основание для обращения в милицию. Если сайт чистый, то вас подставляют целенаправленно и спокойно жить не дадут. Это война.
Только сначала тщательно проверьте содержимое сайта. Можете у хостера попросить помощи, они как-никак тоже заинтересованная сторона.
P.S. Ещё одна бредовая версия выскочила: где-то живёт подставной DNS, на котором прописан фальшивый www.sunmulti.com
Хотя, на мой непросвещённый взгляд, слишком изощрённо для порнодельцов.
-
-
Сообщение от
pig
Я думаю, что есть основание для обращения в милицию.
Мы тоже так думаем, и завтра, т.е. утром уже идем.
Сообщение от
pig
подставной DNS
Объясни, пожалуйста, что это такое?
Искренне рада, что хоть кто-то нас поддерживает и понимает. А то остались наедине с проблемой, даже хостер отмораживается. pig, спасибо.
-
-
DNS - имеется в виду сервер доменных имён, который транслирует символические имена в IP-адреса. Атаки с выдачей фальшивых IP-адресов по реальным именам вполне возможны, но для гарантированного притока клиентов на порноресурс не годятся, эффективность у них низкая.
-
-
есть еще одна мысль - ссылку в письме оформили как {a href="http://черт знает куда"}http://www.sunmulti.com{/a}
а что за содержание было на сервере? где его сейчас можно посмотреть?
-
-
Сообщение от
МОСТ
ссылку в письме оформили
Приведённый образец вроде как plain text... Хотя он уже в таком страшном виде, что непонятно, где кончается оригинал и каким он был на самом деле.
-
-
http://www.sunmulticom.38.com1.ru/ - вот ссылка по которой можно просмотреть сайт, строго не судите, проект только начали воплощать.
Для нас важен сам адрес www.sunmulti.com.
Обратились сегодня в милицию, отправили в прокуратуру, там все руками разводят. Никто не знает, что делать с нашим заявлением. Но мы не отступаем, будем обращаться в администрацию нашего города, в отдел по защите прав.
Может кто сможет проверить сайт на взлом, т.е. может его кто-то взломал?
-
-
Сообщение от
InnaSun
Обратились сегодня в милицию, отправили в прокуратуру, там все руками разводят. Никто не знает, что делать с нашим заявлением. Но мы не отступаем, будем обращаться в администрацию нашего города, в отдел по защите прав.
а Вы в ту милицию ходили? вообще этим должен отдел "К" заниматься.
Сообщение от
InnaSun
Может кто сможет проверить сайт на взлом, т.е. может его кто-то взломал?
вообще для этого желательно иметь доступ к php-скриптам. а так по внешним признакам не понятно ничего.
-
-
Сообщение от
MOCT
отдел "К"
??? Объясни, пожалуйста.
-
-
Сообщение от
InnaSun
??? Объясни, пожалуйста.
спец. отдел в милиции по борьбе с преступлениями, связанными с высокими технологиями (компьютерами, сетями, телефонами).
-
-
Ну вот и отлично. Теперь будем искать этот отдел у нас в городе. Спасибо за информацию.
-
-
Сообщение от
InnaSun
Ну вот и отлично. Теперь будем искать этот отдел у нас в городе. Спасибо за информацию.
звоните (или приходите) в ГУВД. там скажут телефон или куда приходить. заявление пишите сразу в двух экземплярах. первый отдадите им, а на втором распишутся в приеме от Вас заявления.
-
-
Есть ещё одна версия, о которой я как-то сразу не подумал. Не купили ли вы случайно домен, отягощённый историей? Может, это его прошлое аукается?
Хотя у такого проекта просто обязаны быть амбициозные конкуренты.
-
-
Сообщение от
pig
Есть ещё одна версия, о которой я как-то сразу не подумал. Не купили ли вы случайно домен, отягощённый историей? Может, это его прошлое аукается?
я так понял, что спам продолжает идти (в настоящем времени). а кому нужно раскручивать уже мертвый сайт?
да и название сайта ничего не говорит о принадлежности к порно-индустрии.
-
-
Мне сегодня припилило: "Лучшие подарки к 8 марта!" Так что возможно всё. Спам суть индустрия; кому-то дали заказ на определённый объём рекламы, он его отрабатывает, и плевать, что рекламодатель уже накрылся, если деньги заплачены. До сих пор в спаме попадаются телефоны с кодом 095.
Вообще-то я в эту версию тоже не очень верю, но правила детективного сюжета обязывают.
-
-
Сообщение от
pig
Мне сегодня припилило: "Лучшие подарки к 8 марта!" Так что возможно всё.
да что спам - у нас такое по телевидению показывают!
Сообщение от
pig
Спам суть индустрия; кому-то дали заказ на определённый объём рекламы, он его отрабатывает, и плевать, что рекламодатель уже накрылся, если деньги заплачены. До сих пор в спаме попадаются телефоны с кодом 095.
код такой тоже видел. хотя может это для конспирации и обхода фильтров? или по незнанию подавших рекламу? спамеры они же суть обезьяны - что дали, то и разошлют. только некоторые генерируют меняющуюся от письма к письму рекламу, но это в основном их собственная.
Сообщение от
pig
Вообще-то я в эту версию тоже не очень верю, но правила детективного сюжета обязывают.
да, детективный сюжет затягивает. особо интересно - кто и как будет проводить расследование и чем все закончится.
-
-
У Агавы запрашивали данные о регистраторе, наконец-таки прислали мыло, по которому с ним можно связаться. Вот что пришло от регистратора:
Hello,
SUNMULTI.COM was cancelled on March 9, 2006 due to invalid Whois
information. Our records show the information was not updated within the
timeframe specified in the notification sent to you on February 14, 2006.
Consequently, the domain was cancelled as per the Registration Agreement.
You may wish to contact customer support at 480.505.8877 if you interested
in registering the domain name.
Thank you,
Domain Services
Вот так. По ходу нашего домена уже нет. Хотя Агава молчит. А при покупке хостинга, они обязались предоставить домен и регулировать отношения с регистратором. Я так понимаю, Агава должна была все уладить...
-