На прошлой неделе мне пришлось столкнуться со следующей ситуацией: некоторые из моих пользователей жаловались, что они получали электронные письма, в которых говорилось, что их компьютеры заражены, и что они должны перейти на определенный сайт для бесплатного сканирования. Дальнейшее расследование показало, что данный сайт является типичным сайтом, распространяющим вредоносное ПО: он отображает фальшивое окно сканирования и заставляет неопытных пользователей загрузить троян.
Пингуя домен, я получил IP-адрес этого сайта. Whois на этом IP-адресе раскрыл мне хостинговую компанию, на которой размещен сайт с вредоносным ПО. Я написал их группе по борьбе с злоупотреблениями электронное письмо, указав им на этот сайт. Они решили проигнорировать мою электронную почту, а сайт вредоносного ПО все еще работает через банкомат.
Конечно, меня расстраивает такое отношение. Я хотел бы услышать от вас, как вы справляетесь с такими ситуациями. Также хочу, чтобы вы прокомментировали мою стратегию.
Мои пользователи выходят в Интернет через прокси-сервер. Этот вредоносный сайт сейчас заблокирован. Но я хочу пойти еще дальше. Я хочу узнать все сайты, которые размещает хостинговая компания, и заблокировать их. Можете ли вы предложить рабочий процесс и инструменты для проведения этого исследования?
Вы можете узнать их сетевой диапазон и заблокировать его, но имейте в виду, что результаты whois не обязательно отражают компанию, размещающую указанный веб-сайт. Вы можете найти результаты для диапазона сети провайдера выделенного сервера, который будет относительно большим, и его блокировка также заблокирует многие законные веб-сайты. Скорее всего, существует небольшая хостинговая компания с одним из этих выделенных серверов, на котором размещается клиент, у которого есть этот вредоносный веб-сайт, что само по себе может быть не преднамеренным, а на самом деле является результатом нарушения безопасности.
Вам следует писать сообщения о злоупотреблениях по электронной почте, но не ждите ответа, особенно быстрого. Все должно идти вниз по цепочке команд, поэтому поставщик сервера свяжется со своим клиентом, а его клиент должен будет иметь дело с указанным веб-сайтом.
Если вы хотите усложнить свою настройку, вы можете использовать проверку безопасного просмотра Google: http://www.google.com/safebrowsing/diagnostic?site=http://malware.testing.google.test/testing/malware/ и извлечь из него информацию, а затем решить, разрешить ли пользователю посещать веб-сайт или нет.
На данный момент я довольно неоднозначно отношусь к поставщикам, которые позволяют размещать вредоносное ПО на IP-адресе в пределах класса, который они контролируют. Если вы подаете жалобу, дайте им немного времени, чтобы ответить. Я видел положительные результаты в таких случаях, как ваш.
Я очень сильно полагаюсь на OpenDNS для фильтрации вредоносных сайтов. Они знают о сайтах вредоносных программ намного больше, чем я, и постоянно обновляют свои базы данных.
Это бесплатно, и вы можете настроить их предварительно созданные фильтры и создать свои собственные. Они также обеспечивают хорошее графическое представление того, какие сайты были заблокированы в зависимости от времени и местоположения. Это хорошо работает для нас, поскольку у нас есть офисы по всей территории Соединенных Штатов.