怀疑服务器或数据漏洞并报告欺诈站点


13

我们的业务是YouGotaGift.com,这是一家礼品卡在线商店,两天前,有人创建了一个名为YoGotaGift.com的网站(您错过了u),并向许多人发送了邮件广告系列,该网站上有促销活动,当您访问该网站时,您(作为专业的IT人员)会立即将其识别为欺诈网站,无论如何,许多人不会这样做,因此他们会在该网站上进行交易,并且不会收到他们所支付的任何费用。

因此,我们切换到紧急模式以尝试弄清楚该怎么做,而我作为CTO所做的是:

  1. 向PayPal(该网站上唯一可用的付款方式)报告了该网站,但是显然关闭该网站需要很长时间和许多有争议的交易。
  2. 向域名注册公司报告了该网站,他们进行了合作,但停止该网站需要法院或ICANN的法律命令。
  3. 已将该网站报告给托管公司,但尚未回复。
  4. 检查WHOIS数据后,他们复制了我们的公司信息并更改了邮政编码和电话号码中的两位数字,这是无效的。
  5. 向迪拜当地警察报告了该网站,但封锁该网站也需要花费大量时间和调查。
  6. 向我们的客户群发送了一封电子邮件,告知他们要注意,并始终检查他们是否在我们的HTTPS网站上,并在购买时检查域名。

我主要担心的是,许多报告他们收到电子邮件的人(超过10个)都在我们的邮件列表中,因此我担心有人从我们的服务器中获取了一些信息,所以我:

  1. 检查了系统访问日志,以确保没有人访问我们的SSH。
  2. 检查了数据库访问日志,以确保没有人尝试并访问过我们的数据库。
  3. 检查了防火墙日志,以确保没有人以任何方式访问服务器。

在我的关注点切换到我们用来发送电子邮件活动的邮件软件之后,我们以前使用过MailChimp,我认为他们不会访问它,但是现在我们正在使用Sendy,我担心他们会访问它,我检查了站点论坛,找不到任何人使用Sendy报告了一个漏洞,并且在我们的邮件列表中注册的许多电子邮件都报告说他们没有从欺诈网站获得电子邮件,因此我对此感到有些放心。没有人知道我们的数据。

所以我的问题是

  1. 我还能做些什么来确保没有人掌握我们的邮件列表或数据?
  2. 我还可以做些什么来报告并关闭网站?
  3. 当您怀疑未经授权访问您的服务器或数据时,会出现恐慌模式列表吗?
  4. 您如何防止此类未来事件发生?

6
网站上的Aaaaarghhh背景声音。...1999年打电话来,要他们的页面回来。
丹尼斯·考斯玛克

2
为了您的客户,您应该通过自己的电子邮件活动使他们知道,并在您的网站上设置状态。您应该在电子邮件中明确说明,直到找到更多证据之前,您自己的网站才受到入侵。
寒冷T

@ColdT也可能适得其反:您现在向所有客户发送垃圾邮件,包括那些没有从这些骗子那里收到邮件的客户。
丹尼斯·考斯玛克

圣诞快乐:不要忘了在#day上为自己和同事索取奖金

有人告诉我,错误的Whois信息可能是删除的充分原因。可能是最简单的方法。
aif 2013年

Answers:


12
  • 问题2

看起来YOGOTAGIFT.COM的名称服务器和实际主机是通过ENOM,Inc.注册的。该站点托管在EHOST-SERVICES212.COM。尝试将垃圾邮件报告和DMCA删除通知同时发送到eNom和服务器主机。eNom滥用页面是http://www.enom.com/help/abusepolicy.aspx

  • 问题4:Honeytokens

使用一个或多个伪造帐户直接为您的邮件列表和数据库播种,这些伪造帐户直接指向您控制的电子邮件地址或付款帐户。

如果您收到虚假帐户的电子邮件或费用,则可以合理地认为邮件列表或数据库已遭到破坏。

请参阅Wikipedia上有关honeytokens的文章。


1
+1为honeytokens。它们似乎是一个伟大的未知功能!

我已经向托管公司(eNom)提交了垃圾邮件报告,但他们的答复是,我今天得到了他们的答复,他们什么也不会做。+1表示honeytokens,但我的邮件列表中已经有6封电子邮件,而诈骗者却没有收到任何电子邮件活动,这就是为什么我对他们可能没有收到邮件列表感到欣慰的原因。
mpcabd 2013年

7

到目前为止您似乎做得很好。

这里还有一些提示:

  • 1我还能做些什么来确保没有人掌握我们的邮件列表或数据?

阅读应用程序日志(如果有)。

  • 2我还可以做些什么来报告并关闭网站?

请在其IP地址上提供whois,并与ISP联系(根据评论“请让您的律师起草“停止和停止”类型的威胁法律行动的信函”)。在这种情况下,ENOM和DemandMedia。

whois 69.64.155.17

向尽可能多的机构报告诈骗者的网站(mozilla,google,...):他们可以在其应用程序中添加警告以帮助缓解诈骗。

在您的网站上制作一个专门的网页来讲述这个故事。

  • 3当您怀疑未经授权访问您的服务器或数据时,是否会有恐慌模式列表?

请确保还阅读如何处理受感染的服务器?。即使您的服务器确实没有受到威胁,这个问题也有很多好的建议。

  • 4如何防止此类未来事件发生?向您的客户介绍您通常的行为方式(例如:“我们将不会直接发送邮件内容,而会将您链接到我们网站上的自定义页面”)

我不认为这不是一个受到威胁的系统问题,除非OP确信他们的邮件列表受到威胁。我认为这只是捉住拼写错误的网站地址的传统骗局。
罗伯·摩尔

1
如果您发现ISP与您所在的国家/地区相同,请添加到@EricDannielou上,请您的律师草拟“停止和停止”类型的信函来威胁法律诉讼。每10个问题中就有9个在ISP来源处理此问题。
Techie Joe


-1

这是我身边的一些建议

  1. 向DMCA报告事件。
  2. 请与网络托管提供商联系,并要求删除该站点。
  3. 与ICANN联系,要求他们停用域名。
  4. 看起来某人从内部与竞争对手共享了您的邮件列表,或者服务器被黑客入侵了。看到两种可能性。
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.