On 2 Maj, 13:22, Karl Erik Christensen <karle...@none.invalid> wrote:
> Alle er jo klar over at russere sjældent er ude i lovligt ærinde.
Det er ikke korrekt.
Russerne har både en søgemaskine og en antivirus, som er accepteret
ret bredt.
Nu ved jeg ikke, om Kaspersky laver en "for-download", men det var ret
populært før i tiden. Dér hvor selve AVet hentede siden FØR browseren
for den kunne sammenlignes med en blacklist hos AV-producenten.
Det vil under alle omstændigheder betyde, du ikke kan bruge russiske
services, og at sådanne evt. for-download, hvadenten de bliver udført
af selve AVet eller en bot fra AV-firmaet - ikke vil virke. Du
risikerer at lukke dig ude pga. du ikke vil fortælle, hvem du er og
hvad du står for til russiske bots. Hvilket er hvad der sker, når en
(godartet) bot kører igennem sin side.
"Russerne" er ikke pr. definition ondartede, og du har et problem med
at skære alle over én kam.
DET, du kan sige er:
HVIS du har mange (rigtigt mange) russiske IPer, som stammer fra den
samme udbyder, og her taler jeg om langt størstedelen af IPerne er
blacklistede, så kan du blocke udbyderens IPer. Jeg oplevede det med
Ukrainske og Israelske udbydere, som tillod dedikeret spamservere.
Og det kan man se, ved at man checker IPen på bl.a.
projecthoneypot.org. Her vil du få de sammenhængende IPer, så du kan
se, hvor mange IPer fra den udbyder, som er ondartede.
Det er vigtigt at kigge på, hvor persistent de IPer er. Det skal være
gennemgående IPer, som har ligget en del tid på listen, så du er
sikker på, det ikke er fast-flux-IPer.
Som du selv har oplevet, så skifter en del spammere IPer ret ofte.
Uofficielt hedder det noget med at bruge én IP én gang, derefter 3
måneders dvale, før den kan bruges igen. Så ødelægger man det for dem,
som vil IP-blokere, fordi man ikke kan bygge en ordentlig black list.
De hostere, som giver tilladelse til at bruge serverne til spam (det
var klart mest Ukrainere før i tiden), er ret nemme at blocke, fordi
de IPer er de samme hver gang, også selvom de botter som regel også er
lidt mere intelligente. Men de skal tages med "skalpel" - ikke en
generel IP-blocking, som du gør det.
Fast-flux derimod, det er private brugeres PC, som er blevet
inficeret, og de botter er skrevet til ikke at fylde noget, derfor
ligner de meget hinanden. Langt de mest kendte er JAVA-botter, som
bruges til harvesting. Det er _ikke_ en god idé at blocke fast-flux-
IPer _alene_ på IPen. Du kan risikere at blocke naboen.
Der er forskel på, om en IP, som angriber, kommer fra en privat PC -
eller en dedikeret server til formålet.
Generelt er IP-blocking noget man skal foretage efter en grundig
analyse, og kun for en nærmere defineret tid.
_Langt_ det bedste er, at man sikrer sin sides forskellige dele, som
der også _er_ blevet gjort opmærksom på her utallige gange. _Derefter_
kan du i ro og mag finde på metoder til at detektere disse botter og
analysere deres angrebsmetoder (en honeypot er rigtigt godt værktøj),
og først derefter finde en måde at bekrige dem på. Hvis det er det, du
vil...
At begynde en krig, før man selv har opbygget et solidt forsvar, det
levner ikke mange chancer for at vinde.
Næste gang, så angriber de dig bare fra et andet land, hvad med f.eks.
Colombia? Eller Saudi Arabien? Eller Mexico?
Det kan såmænd ske igennem en vulnerability i Googles APIer, så man
bliver angrebet af en IP fra Google. Det _har_ jeg prøvet, og jeg
havde lissom ikke rigtigt lyst til at blokere Google.
MVH
Rune Jensen