Vlákno názorů k článku Celý rozsah IP adres Wedosu se dostal na blacklist, zákazníkům se ztrácela pošta od Uncaught ReferenceError: - Wedos má dlouhodobě problémy s tím, že jeho...
-
Wedos má dlouhodobě problémy s tím, že jeho servery útočí všudemožně po internetu a reporty z druhé strany jsou celé dny bez reakcí až musí dojít k blokacím.
Sám jsem zažil stovky tisíc spam emailů z wedos IP adres na naše poštovní servery za hodinu a naprosto laxní přístup podpory Wedos, kdy mě odkazovali na to, že mám napsat tomu, kdo to posílá a požádat ho, ať to vyřeší, že s tím nemohou nic dělat.
V zahraničí je také velmi těžké vysvětlovat, že sice, když u IP adres je uvedeno "We DoS", jedná se o legitimní společnost a ne drzého útočníka.
-
Alibismus z kategorie "to je server zakaznika, my s tim nic nezmuzeme" tady fakt nefunguje. A ano, zacina to uz u toho, ze si smluvne tyhle veci osetrite, tzn. v pripade problemovych stroju je v krajnim pripade proste odpojite. Pokud tohle zmaknute nemaji a incident handling je pojat systemem "neni nas problem, vyres si to jinde", pak se nemuze nikdo divit, ze to dopadne tak... jak to dopadlo.
-
Zablokovat veškeré adresní rozsahy celého ASN, pokud to tak proběhlo, je nebetyčná prasárna, zvlášť na základě free spamlistu, kde se platí za delisting.
Až mi to v práci nepojede, tak to bude znamenat, že tady ten spamlist pohřbil celé české O2 a 1,5 mil. IP adres?
UCEPROTECT-Level3
Reputation of ASN 5610 | O2-CZECH-REPUBLIC, CZStatus : ATTENTION Increased Listingrisk
Spamscore : 16.2
Provider has total IP's : 1542912
Level 1 listed abusers within the last 7 days : 5
Impacts from Level 1 : 2509. 10. 2024, 13:09 editováno autorem komentáře
-
jediný, kdo je spolehlivě dohledatelný je právě AS. Wedos i O2 nemají nijak moc dobrou strukturu jednotlivých podsítí a nelze tak blokovat jen konkrétní síť, ale končí to na celém ASN, bohužel.
O2 patří k dalšímu velkým vtipálkům, ale u nich aspoň funguje podpora, komunikují, provoz aktivně blokují a starají se o to o dost lépe. Dokonce proaktivně monitorují komunikaci a pokud uznají, že bod je napadený či jeho chování je mimo běžný provoz, upozorní klienta a dají mu čas na nápravu, pak blokují postupně síť. Wedos to ignoruje celé dny, kdy od nich probíhá útok, žádný selektivní odchozí FW snad ani nemají implementovaný nebo naprosto nefunguje. Nejeden z posledních velkých DDoS byl účinný právě proto, že pocháze z CZ prostředí, Wedos se objevuje snad při každém.
OD O2 stejně asi moc emailů neposíláš, co? Ve výchozím stavu mají dokonce tyhle porty blokované.
-
Wedos, má co jsem koukal 10k+ IP adres, to vám jako přijde normální, aby nějaký vydíračský spamlist, co má web z roku 2000, běží na HTTP, je provozovaný na hostname familyfriendlydental.com a vybírající výpalné za delisting, zablokoval celý ASN kvůli 50 IP, ze kterých ani žádné spamy nechodí, prostě někde UCEPROTECT detekoval aktivitu, třeba portscan na nějaký jejich server?
Ještě jednou, z těch zablokovaných IP žádné spamy nemusí chodit, tudíž není směrodatné, zda jsou ve výchozím stavu povolené nějaké porty. Sám mám přes O2 v práci pouze internet, ale maily O2 používají firmy v objektu...
-
normální je to, co se běžně děje, takže ano, tohle je normální, už dvě dekády. Nerozumím, proč si musíš pomáhat nálepkami, že to je vyděrský, stejně tak nevím odkud někoho hodnotíme podle toho jak vypadá jeho web, aspoň tam není milion JS a animací.
Tak ty firmy mají trochu jiné smlouvy, porty je možné nechat otevřít, dokonce některé jsou příplatková služba, ale běžně si firmy nehostují emailové servery na IP adresách od ISP, to bylo tak před 30 lety.
Z čeho usuzuješ, že se musí blokovat pouze adresy, z kterých chodí spam? To bys pak spam občas nebyl schopný zablokovat nikdy, protože IP adresy se dají točit ve velkém. Stejně tak nechceš mít obrovské množství pravidel. Můžeme se bavit o tom, že zohledňování IP adres u emailů je špatnost a že celý ekosystém extrémně zastaral a vůbec se nerozvíjí a jen se přidávají tyhle blokování do úrovně, že dnes jsi v zajetí velkých společostí a skoro nelze si provozovat email sám.
UCEPROTECT používá třeba pasti a monitoruje spam na určitých svých adresách. Funguje takhle dvacet let a sám nic neblokuje, poskytuje pouze statistická data o tom, kudy jak chodí spam. Problém je sám Microsoft, který u osobních emailových schránek se tak trochu se spamem zbláznil, ve firmách aspoň máme možnost ovlivnit jaké filtry a jak poštu budeme čistič, u osobních to nemáš jak dělat.
Pokud někdo má velké množství IP adres, tak má o to větší odpovědnost je mít v pořádku a hlídat si je a ne se schovávat za to, že oni nic, to dělají pouze jejich zákazníci.
-
Ad vyděračský : Dají se dohledat případy, kdy IP adresa nebo celý blok nebyl na jiných spam listech, jenom na UCEPROJECT a pokud jedinou možností, jak nebýt 7 dní blokován nebo dokonce schytat blokaci adresního rozsahu nebo celého ASN je zaplatit, je to vydírání. Také není žádná záruka, že po zaplacení se IP nedostane na seznam znovu a placení pokračuje. Navíc může ISP koupit blok IP adres, kvůli kterému mu pak bloknou celý ASN, pokud nebude ochotný platit.
https://blog.sucuri.net/2021/02/uceprotect-when-rbls-go-bad.html
https://www.trustpilot.com/review/www.uceprotect.netTady si něco půjčím bez překládání, to ani nestojí za komentář :
UCEPROTECT is a well known scam. One man, who doesn't reveal his real name because he's a cowardly scammer, is behind this scheme. He adds every IP address owned by large hosting companies to his blacklist, and then asks for money to de-list in a timely fashion. I have 90+ websites that are listed on his UCEPROTECT3 which means my billing emails and etc are not reaching many clients. I have not spammed anyone, my IP is innocent, but they have blacklisted every single IP address used by my (very reputable and excellent) hosting company.
There is no guarantee that you won't be listed again if you pay for delisting.
Again, I never spammed anyone - my IP address is just owned by a company that this scammer has targeted for his extortion.
This has been an ongoing battle with EVERY hosting company we have used in the last decade or more. UCEPROTECT3 lists EVERY major web hosting company's IP blocks, no matter if specific IP's are capable of sending mail or not.
His website is full of threatening language as well as insults and bullying against his victims. This malignant scam artist needs legal action taken against him and to be held accountable for his crimes against small businesses.
-
Ad stáří webu : to je fór ne? Informace v textu aktuální z roku 2011, novinky 2021, odkazy nefungují, komerční stránka nefunguje, platební způsoby hlásí chybu BAD_REQUEST, web běží na HTTP atd. nebavíme se proboha o javascriptu nebo grafice, ale o elementárním stavu toho webu. Tohle má být vizitka seriózního provozovatele? Asi mámě každý jinou představu, jak to má vypadat ;-)
-
Hodnocení plně sedí, stačí se podívat např. zde :
https://www.inmotionhosting.com/support/news/uceprotect-rbl-scam/
https://www.titanhq.com/blog/warning-ignore-pay-for-de-listing-blacklist-service/
https://conetix.com.au/support/uceprotect-email-protection-scam/#:~:text=Overview,you%20to%20pay%20to%20delistViz např.
"Recently, an RBL provider called UCEPROTECT has incorrectly blacklisted a very large number of IP ranges. This has also been confirmed by major security and anti-spam service providers such as Sucuri. In the Sucuri investigation, an IP address was blacklisted for spamming even though it was not even a mail server. "
Nebo
"Yesterday, I was browsing their site to verify something, and my IP became blacklisted on level 1 at the time I visited it, so just by browsing their site. One more small issue is that it seems that other blacklist just incorporate their data without any check."
-
"IP address was blacklisted for spamming even though it was not even a mail server." - a to ma byt jako dukaz? Kdyz napadnu server tak z nej budu odesilat spam bez ohledu na to jestli je to DB/FTP/SMB server... no a klidne si po odeslani toho co potrebuji uklidim a pokud ma zakaznik bordel v siti (coz evidentne ma kdyz mu nekdo napadne server) tak nic na serveru relevantniho nenajde. UCEPROTECT neobhajuji, zkusenosti s nimi mam negativni ale ve vsech pripadech byl report opravneny (ne, opravdu ne kazdy chce dostavat newslettery po nakupu).
-
Takže negativní zkušenost je právě to, co uvádím, že je to obchodní strategie a kdo nemůže čekat, musí zaplatit. A klidně několikrát.
Mimochodem pokud stačí na blacklistování portscan, takovému útočníkovi nebo konkurenci stačí získat přístup ke zlomku IP adres a proskenovat servery UCEPROTECT, aby byl celý pool nebo rovnou celé ASN zablokované, nemusí ani spamovat.
-
Je to jako se vším, co má dobrou myšlenku a špatné provedení. To co píšete by platilo ve chvíli, kdyby to zařízlo toho konkrétního zákazníka, který ten bordel v síti má. Ale problém levelu 2 a 3 je v tom, že při malém thresholdu to zařízne celé pooly nebo dokonce celé ASN a ti dotčení zákazníci žádný bordel nikde mít nemusí a pravděpodobně nemají - pouze sdílí rozsah s tím/těmi, kde k nějakému incidentu došlo.
-
Z druhe strany ale muzeme s klidnym svedomim rict, ze existuji cele AS, ze kterych nic nez bordel realne ani neprichazi. A adresy tam rotuji doslova jak fusekle. Zariznete jednu adresu a behem chvile to pokracuje z adresy jine. Vase predstava, ze na internetu jsou vsechny AS jenom ti hodni je tak trochu mimo realitu fungovani globalniho internetu. Ale muzete zkusit vymyslit lepsi zpusob, jak se pred temi zlobivymi AS branit...
-
Hele Danny, já rozhodně nemám představu, že jsou všichni na internetu hodní, nevkládejte mi něco, co jsem nikdy nepasal. Vadí mi způsob, vadí mi provedení a vadí mi tresholdy, při kterých se zablokují adresní rozsahy nebo celé ASN, prostě by se s vaničkou nemělo vylívat i dítě a ještě si za to nechat platit ;-)
-
Já jsem nenapsal, že se to "nesmí" nebo že je to "nezákonné" a ano, pokud takové vydírací šméčko bude fungovat a administrároři budou takovou službu bezhlavě používat, nic se nezmění... Děkuji, že můžu napsat, že se mi to nelíbí, stejně jako Vám neberu, že Vám způsob a kvalita dat uceprotectu nevadí. Nic víc, nic míň v tom nehledejte. Já se s tím smířím, neovlivnilo mě to, vadí mi dopady, jaké to může mít, aniž by s tím dotčené subjekty mohly něco udělat...
-
Ale když bude někdo fakt chtít, stačí koordinovaně pár desítek, v případě O2 pár stovek IP k tomu, abys měl zablokované desítky tisíc nebo 1,5 mil. IP adres v celém ASN. Dost nehezká představa, zvlášť když není jasné proč a za jakých okolností k tomu došlo. Některým to připomíná Ransomware, taky platíš a nemáš jistotu, že to placení za delisting nenastane znovu, kolikrát, u kolika IP a jestli to, že jsi ochotný zaplatit neznamená, že budeš platit pravidelně...
-
UCEPROTECT tady je dlouho, dělá to divně, přímo blokovat podle nich je nesmysl, ale jako zdroj dat jsou dobří. Argumentovat hejty na internetu je samodokazující, vždy, když někdo u nich skončí na blacklistu, začne tady předvádět co ty, hledat důvody proč jsou úplně špatní.
MS ty data přejímá, ale má tam spousty různých další filtrů, první komunikace by měla vést k nim a vyřídit to u nich.
Pořád to ale nic nemění na tom, Wedos se o své IP adresy nestará, není to první případ, kdy takhle ve velkém skončil v blacklistu.
-
Tvrdíš, že to dělá divně, blokovat podle něj že je nesmysl, ale je dobrej jako zdroj dat? Vůbec takovému myšlenkovému pochodu nerozumím, promiň ;-)
Znáš metodiku, způsob detekce a validace UCEPROTECTu, že můžeš říct, že je dobré ho používat jako zdroj dat? Zdroj dat k čemu, když není jasné, kde to vzali, protože používají svůj způsob a cílem je evidentně vybírat prachy?
-
100 dolarů za jednu IP, to je dobré výpalné, hlavně nikdo neví, kolik subjektů skutečně zaplatí a kolikrát opakovaně, takže starej web a způsob hraní si na neziskovku může být klidně jenom kamufláž, jak ospravedlňovat vysokou cenu za rychlé odstranění a žádaní dárců o příspěvky na provoz.
Ale třeba ne, třeba je to křišťálově čisté, všem to vlastně vyhovuje a je to skvělý nástroj na potírání spamu :-)
-
Tady přece celou dobu řešíme, že nejde o to, že tam posílá konkrétní zákazník spamy, dokonce je zdokumentované, že to byly IP, kde byla 25ka zakázaná, ale že to nemusí být první ISP co dodává službu zákazníkovi, ale klidně druhý nebo tranzitní, kde při relatvně malém počtu zablokuje rozsah stovek nebo tisíců jiných zákazníků, kteří jsou pouze "rukojmími" toho, že nějaká free a negarantovaná služba něco vyhodnocuje a může způsobit jejich nefunkčnost, protože ji někdo bere příliš vážně.
Aby nedošlo k omylu, jsem všemi deseti pro to, aby všichni ISP brali bezpečnost vážně, kontrolovali co se v jejich síti děje právě proto, aby se na nějaký blacklist vlastní vinou nedostali a neohrozilo to jejich byznys, mají na to i státem dotované projekty na Data retention...
Ale co mi vadí, že i když udělá ten ISP všechno dobře, pokud používá IP adresy nadřazeného dodavatele, je to věc, kterou neovlivní, leda by sám proaktivně ještě kontroloval rozsahy nad ním nebo to aktivně s nadřazeným řešil...
-
$100 je castka za kterou zaplatis tady v US cloveka a das mu nejaky system ze kterym bude pracovat. Ne vse na svete se odehrava v pakistanu za $2/hod. Firmy ktere chteji pouzivat UCEPROTECT ho pouzivaji, je to jejich rozhodnuti stejne jako je tve rozhodnuti nemit zabezpecenou sit nebo provozovat levny hosting bez monitoringu.
-
on, v první řadě by služba kontroly IP a monitoringu adres měla být součástí standardního balíčků a ne jen jako něco extra, viz wedos.online. Stejně tak, pokud ti hosting přiděluje u ipv6 blok /112 a veškeré blacklisty používají /64, máš malér zaručený a ani nemusíš na nic čekat.
Další věc je, že pokud ti hosting nechává posílat emaily z tvých serverů a nemá emaily oddělené, blacklistům se dnes nevyhneš, stačí jeden blbý plugin do WP a jsi fuč, emailovou infrastrukturu musíš řešit obzvláště opatrně a pečlivě, ideálně mít oddělené IP adresy a ty si udržovat.
-
divně protože reportuje celé velké sítě, nesnaží se najít nejmenší síť, z které jdou útoky, nepodporuje ani ipv6. Zdroj dat to je dobrý pro výzkum, tendence, sledování v čase, hlídání si, jestli nějakých z mých serverů nedělá neplechu, jako indikátor to je skvělé kvůli množství senzorů a záběru.
A jako zdroj dat pro blokování? V současné době to přebírá snad jen MS, podle jejich vyjádření to ještě mixují se svými daty než dojde k blokaci, ale mám pochybnosti. Nemají zdokumentované jak to funguje. Gmailu to nevadí snad vůbec.
UCEPROTECT má i bratříčka, https://www.backscatterer.org, který zase eviduje špatně konfigurované emailové servery.
Jakou metodiku bys chtěl? Mají miliony trap serverů, kde sledují, kdo jim co a odkud posílá, pak dané IP adresy uveřejňují v reportu. Stejně tak zaznamenávají aktivitu na jejich servery na portu 25/TCP (což portscan vlastně dělá, ale nestačí pouze portscan na otevřené porty, musíš jim tam poslat data). Mají servery po celém světě vč. třeba Filipín, Kambodži, Číny, takže dobře fungují i jako lokální senzory.
A co je na nich zajímavé? Používáme jejich data dlouhodobě právě jako jeden z monitoringů, jestli nějaký z našich serverů se nechová špatně. Za běžných okolností by totiž náš server neměl nikdy kontaktovat servery z UCEPROTECTu a jakmile to nastane, znamená to zpravidla nějaký bezpečnostní incident a řešíme okamžitě. Wedos to nechával vyhnít měsíce. Z našich končit jejich data a realtime blackhole stream používá třeba O2, Cetin, Cesnet, KB aj. Pořád se bavíme pouze o portu 25/TCP.
Za to dobu co tohle dělám (20 let v bezpečnosti systémů a sítí) jsem se nikdy osobně nesetkal s tím, že by UCEPROTECT zaevidoval nějakou spravovanou IP adresu a bylo to chybou nebo nedopatřením, naopak vnímám jejich data dlouhodobě spolehlivá.
Breč u MS (či kohokoliv) jiného, který jejich data přebírá a blokuje místo, aby je bral pouze jako senzor a indikaci problémů.
-
Mně ten Microsoft přijde, že po těch problémech s bezpečností Exchange a BEC u amerických vládních institucí obecně lítá zleva doprava a neví, jak to uchopit, tak radši udělá víc než míň.
Doporučuji přečíst report od Cyber Safety Review Board (CSRB), níže pouze pár hlavních zjištění. Osobně u MS maily nemám a mít nebudu, zákazníci co ho používají musí vytvořit tlak, aby to dělal líp...
<hr />
The Board finds that this intrusion was preventable and should never have occurred.
The Board also concludes that Microsoft’s security culture was inadequate and requires an overhaul, particularly in light of the company’s centrality in
the technology ecosystem and the level of trust customers place in the company to protect their data and operations.The Board reaches this conclusion based on:
1. the cascade of Microsoft’s avoidable errors that allowed this intrusion to succeed;
2. Microsoft’s failure to detect the compromise of its cryptographic crown jewels on its own, relying instead on a customer to reach out to identify anomalies the customer had observed;
3. the Board’s assessment of security practices at other cloud service providers, which maintained security controls that Microsoft did not;
4. Microsoft’s failure to detect a compromise of an employee's laptop from a recently acquired company prior to allowing it to connect to Microsoft’s corporate network in 2021;
5. Microsoft’s decision not to correct, in a timely manner, its inaccurate public statements about this incident, including a corporate statement that Microsoft believed it had determined the likely root cause of the intrusion when in fact, it still has not; even though Microsoft acknowledged to the Board in November 2023 that its September 6, 2023 blog post about the root cause was inaccurate, it did not update that post until March 12, 2024, as the Board was concluding its review and only after the Board’s repeated questioning about Microsoft’s plans to issue a correction;
6. the Board's observation of a separate incident, disclosed by Microsoft in January 2024, the investigation of which was not in the purview of the Board’s review, which revealed a compromise that allowed a different Review of the Summer 2023 Microsoft Exchange Online Intrusion nation-state actor to access highly-sensitive Microsoft corporate email accounts, source code repositories, and internal systems; and
7. how Microsoft’s ubiquitous and critical products, which underpin essential services that support national security, the foundations of our economy, and public health and safety, require the company to demonstrate the highest standards of security, accountability, and transparency.
Odkaz : https://www.cisa.gov/resources-tools/resources/CSRB-Review-Summer-2023-MEO-Intrusion
10. 10. 2024, 09:37 editováno autorem komentáře
ČLÁNKY DO MAILU