上周我不得不处理以下情况:我的一些用户抱怨他们收到电子邮件,告诉他们他们的计算机被感染了,他们应该去某个站点进行免费扫描。进一步调查显示,该网站是一个典型的恶意软件传播网站:它显示一个虚假的扫描窗口,并诱使没有经验的用户下载木马。
通过 ping 域,我得到了该站点的 IP 地址。该 IP 上的 whois 向我透露了托管恶意软件站点的托管公司。我已经给他们的虐待小组发了电子邮件,指出他们在那个网站。他们选择忽略我的电子邮件,恶意软件站点仍在运行 ATM。
我当然对这种态度感到不安。我想听听你是如何处理这种情况的。我也希望你评论我的策略。
我的用户通过代理服务器访问 Internet。该恶意软件站点现在已被阻止。但我想更进一步。我想找出托管公司托管的所有网站并阻止它们。您能否建议进行这项研究的工作流程和工具?
您可以找出他们的网络范围并将其屏蔽,但请记住,whois 上的结果并不一定代表托管该网站的公司。您可以找到专用服务器提供商的网络范围相对较大的结果,并且将其阻止也会阻止许多合法网站。有可能有一家较小的托管公司,其中一个专用服务器托管具有此恶意软件网站的客户端,这本身可能不是故意的,实际上是安全漏洞的结果。
您应该联系滥用电子邮件,但不要期待回复,尤其是不要快速回复。事情需要沿着命令链进行,因此服务器提供商将联系他们的客户,他们的客户将不得不处理所述网站。
如果您想增加设置的复杂性,可以使用 Google 的安全浏览检查:http ://www.google.com/safebrowsing/diagnostic?site=http://malware.testing.google.test/testing/malware/并从中提取信息,然后决定是否允许用户访问该网站。
在这一点上,我对允许恶意软件托管在他们控制的类中的 IP 上的提供商相当矛盾。如果您提出投诉,请给他们一点时间做出回应。在像你这样的情况下,我已经看到了积极的结果。
我非常依赖 OpenDNS 来过滤恶意软件站点。他们比我更了解恶意软件网站,并且不断更新他们的数据库。
它是免费的,您可以调整他们的预建过滤器并创建您自己的过滤器。它们还提供了一个很好的图形表示,根据时间和位置阻止了哪些站点。这对我们很有效,因为我们在美国各地都有办事处。
www.opendns.com