Pull to refresh
42
0
КОМТЕТ @komtet

Пользователь

Send message
Неожиданный, даже для нас, апдейт.
Во-первых, за десять лет мало что изменилось. Во-вторых, вот буквально сегодня обратился клиент, услуга хостинга которому не оказывается с 2016 года (удалена за неуплату). Сайт владелец не перенес, просто перестал оплачивать хостинг. При этом домен владелец продолжал оплачивать.

Неким гражданином была сделана статическая копия сайта и просто размещена на нашем же хостинге. Сайт снова стал работать, потому что в настройках DNS домена — указаны DNS komtet.ru.

Как этого избежать, если сайт уже не нужен? Снять домен с делегирования, то есть убрать настройки DNS в настройках домена. Но если не оплачивать сам домен, то он может быть выкуплен другим человеком по завершению оплаты регистрации домена. И тогда помешать «зомбоводству» будет уже нельзя.
Давно хочу похожую статью написать, но только с точки зрения хостера за 10 лет. Не такой адЪ, но тоже весело и со своими приколами.
Вот СОРМ3 у нас примут фэсебешники, тогда и… Но даже как примут — будет «Продолжение следует (Яровая)».
Если НЕ написано — то обязательно стоит узнать — сколько. Зачастую, можно узнать только если задать вопрос сотруднику — настолько прячут информацию о стоимости продления, что без регистрации домена её не увидеть.
Как минимум, это должно натолкнуть на мысль, что продление может быть существенно дороже регистрации. )
Мы честно пишем. Например в зоне RU — и регистрация, и продление 390 рублей.
Собственно можно было просто сказать, что современные российские законы в части Интернета носят карательный характер, потому что их применение сугубо политизированное и избирательное. При этом, как показывает кейс с Телеграмом — при всех усилиях законы не работают.
А что до Мамбы — то кому она нужна вообще? На территории РФ по российским законам надо блочить сервисы Google, Microsoft, Adobe и т.д. и т.п.
К сожалению, рядовой пользователь не в состоянии проверить ссылку в письме, для этого надо понимать, как читается URL, как найти в нём доменное имя: money.yandex.ru.prepaid.ru/?_openstat=imainnew3%3Btopup для половины пользователей выглядит так же, как money.yandex.ru/prepaid/?_openstat=imainnew3%3Btopup
Совет проще: вообще никогда не переходить по ссылкам в почтовых сообщениях. Пришло письмо от Яндекс.Деньги? Можно просто зайти на сайт Яндекс.Деньги по сохранённой ссылке и проверить достоверность информации в письме.

Личные данные, в том числе логины, пароли, номера карт пользователи вынуждены указывать на посторонних сайтах. Важно при этом понимать, тот ли это сайт, где вы хотите авторизоваться или оплатить услугу. Яндекс (я про поисковую систему) делает многое в этом направлении и всячески способствуют распространению HTTPS на сайтах.

Как выше указывали, двухфакторная аутентификация, где второй фактор — это SMS — не может считаться безопасной, так как текст SMS в открытом виде доступен неустановленному числу лиц среди сотрудников оператора сотовой связи (а кроме них — ещё и сотрудникам самых различных государственных органов), да и есть возможность получения копии SIM-карты, достаточно много кейсов, связанных с этим.

В защите от фишинга для обычного пользователя стоит добавить следующие рекомендации:

— проверка полученной информации по другому каналу (получили письмо с просьбой о помощи или годовым финансовым отчётом — проверьте по телефону или мессенджеру, знает ли о них предполагаемый автор);

— прежде, чем предпринимать любые действия — надо досчитать до ста, например. Получили письмо о том, что ваша карта взломана, и чтобы деньги вернуть надо СРОЧНО СДЕЛАТЬ что-то? Выдохните. Не помогло успокоиться? Посоветуйтесь с другом. Цель фишеров — вывести вас из равновесия, создать стрессовую ситуацию.

— зашли на сайт без SSL (если в адресной строке нет HTTPS) — никогда не вводите там никаких данных. Благо, современные браузеры вас и сами предупредят, что этого делать не рекомендуется.

— используйте антивирусное ПО, многие антивирусы умеют распознавать в том числе и фишинговые письма;

-используйте современные браузеры последних версий: они умеют определять, когда страница фишинговая (не всегда);

— важно понимать, что вы можете получить письмо по электронной почте, где в качестве отправителя будет president@kremlin.ru или любой другой адрес отправителя, включая ваш собственный. Совсем свежий кейс: письма с вашего же адреса — вам же, что аккаунт взломан и если вы не хотите утечки — заплатите стопятьсот криптоденег кулхацкеру. Естественно, никто ящик не взламывал при этом.

Стоит подчеркнуть, что сказанное про сообщения по электронной почте — во многом относится и к другим каналам связи (мессенджеры, SMS, соцсети и т.п.) Электропочта теряет в популярности свои позиции — благо некоторые мессенджеры уже имеют встроенные средства верификации респондентов (см. Signal, например).

Важны превентивные меры защиты:
— такая элементарная мера, как сложные пароли разные для всех сервисов. Все про это знают — но поднимите руки, честно — кто везде и всегда использует уникальные сложные комплексные пароли?
— надо использовать для финансовых целей отдельный адрес электронной почты. Если у вас один и тот же ящик везде, да ещё и опубликован на досках объявлений и в соцсетях — вы просто приглашаете фишеров к себе в гости;
— ограничивать информацию о себе в социальных сетях и публичном доступе вообще, не стоит фишерам знать, что вы жалуетесь на работу Сбербанка, да и номер телефона у вас в профиле — излишняя подробность. Такой тренинг «начинающего фишера» даёт возможность понять — чем больше у фишера информации про цель атаки, тем выше шансы на успех.

Есть и более сложные советы, например — в деловой переписке использовать только защищённые каналы, а если и пользоваться электронной почтой, то используя цифровую подпись или шифрование. Так вы никогда не получите от «генерального директора» «финансовый отчёт» с вирусом.

Сам тренинг с отправкой «фишинговых» писем полезен, но всё-таки лучше воздержаться от их отправки через публичные почтовые сервисы во избежание санкций. Ну и уж если приспичило это сделать, то лучше направлять письма с использованием сторонних специальных почтовых сервисов, которые позволяют ещё и подставить любой адрес отправителя и не задействуют ваш собственный почтовый ящик. И не спрашивайте — каких. )

Ну и, наконец, если вы стали жертвой интернет-мошенничества — обращайтесь в правоохранительные органы. Это работает (но далеко не всегда). Именно от безнаказанности сейчас настолько большое количество интернет- и телефонных мошенников. И от цифровой безграмотности их жертв.

Извините за лонгрид, у его автора есть опыт в проведении тренингов по цифровой безопасности и противодействия фишерам на серверной стороне (почтовые сервисы, веб-сервисы) — и есть желание делиться этим при каждом удобном случае.
Так, да не так.
Чтобы передавать онлайн — личность владельца должна быть подтверждена. Наша компания — региональный представитель RU-CENTER и одна из самых частых задач — не только смена регистратора или администратора домена, но оформление «Заявления на передачу прав online», после которого, действительно, можно выполнять примерно те действия, которые вы описываете.
Стало понятнее, спасибо что помогли разобраться. Но пока пусть останется ручная обработка.
Мы сейчас, кстати, и зарегистрированы, как анонимный продавец, без фотографии и видео — так как цель была не получить уровень майнера, а реализовать продажу услуг по простейшему варианту (ручная обработка). Вот для автоматического приёма платежей нужно уже подтверждать личность, насколько я понимаю нынешнюю редакцию системы.
Тестируется автоинсталлер LiveStreet 1.0. Готовится к публикации на apsstandard.org. Это явно не заслуживает отдельного поста, но вдруг кому-то будет интересно.
Надеюсь, на обвинения и вопросы в ближайшее время ответит dazaprosto, как представитель разработчика.
Заранее уточню — мы не аффилированы ни с dazaprosto, ни с автором поста. Инвайт предоставлен исключительно из интереса помочь разработчикам бесплатного проекта. Можете минусы ставить, но это правда.
Разумеется, вариаций может быть масса.
Хостеры (и мы в том числе) предоставляют домены в подарок, то есть домен «является частью услуги хостинга».
Продавцы CMS (и мы в том числе) предоставляют домены в подарок при заказе CMS, то домен «является частью услуги по поставке CMS».
Но, согласитесь, это частные случаи ситуации.
Скорее всего, при использовании популярных CMS это сведётся к перебору незакрытых уязвимостей, поэтому достаточно следить за обновлениями CMS и плагинов и своевременно устанавливать их.
В случае использования самописного кода анализ будет очень дорог и гарантии, что будут обнаружены все уязвимости — никто не даст. В любом случае, такой сервис безусловно нужен.
С огромной базой данных (не очень понятно, сколько это) — может понадобится и выделенный сервер.
Многое зависит от системы виртуализации, версий ПО. Чтобы завершить спор, процитирую официальную информацию Plone — Recommended hardware:
— 512 MB or more RAM per Plone site
— 2 GB or more hard disk space
Что точно соответствует данным нами рекомендациям.
Не погорячились, а скорее дали оптимистическую оценку о необходимом объёме оперативной памяти на сервере, требуемом для нормальной работы. Напомню, что речь о VPS и оперативная память будет расходоваться не только на инстанс Zope и Plone, но и на другие сервисы и ОС.
Немного проясню ситуацию.
Есть хостинг-провайдеры, и КОМТЕТ в том числе, которые предлагают специализированные Zope/Plone тарифы с предустановленным ПО. Но это не значит, что нет возможности установить python, фреймворк Zope и CMS Plone на обычном виртуальном хостинге.
От хостинга потребуется предоставить полный SSH-доступ и доступ (хотя бы временно) к компилятору gcc. А далее — следовать инструкциям по установке с официального сайта plone.org
plone.org/documentation/manual/installing-plone
На странице загрузки plone.org/products/plone/releases/4.0.2 есть Unified Installer, который устанавливает всё необходимое (python, Zope, Plone).
Если провайдер не предоставляет необходимые возможности, тогда остаётся VPS. Причём, потребуется не менее 512МБ ОЗУ на каждый сайт и 2ГБ дискового пространства.

Вопросы по установке можно задать в форуме ploner.ru или в российской Google-группе Plone.
В статье написано и про русские домены:.РФ (только кириллица, пример: комтет.рф), и про IDN-домены (на нескольких национальных алфавитах).
Какие-то xn-- — это PUNYCODE.
А миф — это кириллические домены в зонах ру, ком, нет. Таких зон нет, и не было никогда.
Дело в том, что КОМТЕТ — не-windows-хостинг, и опыта в вопросе «как взламывают сайты на windows-хостинге» лично у автора статьи — немного.
Большая часть статьи вполне относится к любому типу серверов, в частности, советы, действия при взломе, как взламываются сайты через уязвимости и т.п.
Сайт сделан и даже происходит его постепенное наполнение — усилиями не одной Ирины. Я могу судить только по переписке в плоновской гугль-группе и словам Ирины. Мы пригласили её на Хабр, возможно сама ответит.
Я могу ошибаться, но plone-сообщество в России не так велико и лучше объединить усилия плонеров в работе над одним проектом — возможно, с несколькими альтернативными именами. Со своей стороны мы разрешили проекту, координатором которого выступает И.Бессарабова использовать материалы www.komtet.ru/info/plone а так же новости и т.п. Можем организовать перевод к.л. статей и специально для этого проекта.
Спасибо, crea7or.
Google Chrome 6.0.472.53 — работает.

Information

Rating
Does not participate
Location
Россия
Registered
Activity