Înainte de a începe

Cea mai bună modalitate de a gestiona reclamațiile pentru abuz este de a configura nodul de ieșire astfel încât să fie mai puțin susceptibile să fie trimise în primul rând. Consultați sfaturi pentru rularea unui nod de ieșire cu hărțuire minimă și Reguli releu de ieșire Tor pentru mai multe informații, înainte de a citi acest document.

Mai jos găsiți o colecție de scrisori pe care le puteți utiliza pentru a răspunde ISP-ului dvs. despre reclamația lor cu privire la serverul dvs. de ieșire Tor.

Formatul și filosofia șabloanelor

Formatul general al acestor șabloane este de a informa reclamantul despre Tor, pentru a-i ajuta să găsească o soluție la problema lor specială care funcționează în general pentru Internet în general (Wi-fi deschis, proxy-uri deschise, botnets, etc), și de restricționare a tuturor celorlalte, cum să blocheze Tor. Filozofia Proiectului Tor este că abuzurile ar trebui să fie gestionate proactiv de administratorii site-ului, în loc să irosim eforturi și resurse pentru căutarea răzbunării și pentru vânătoarea de fantome.

Diferența dintre abordarea proactivă și abordarea reactivă a abuzului este diferența dintre libertatea de internet descentralizată care tolerează erorile și controlul totalitar fragil și coruptibil. Pentru a ne continua ideea, „permisele de conducere” de pe internet bazate pe identitate din Coreea de Sud și China nu au făcut nimic pentru a reduce infracțiunile informatice și abuzul de pe internet. De fapt, toate dovezile obiective par să indice că a creat doar noi piețe pentru crima organizată. Ideea de bază este că aceste șabloane de reclamații pentru abuzuri încearcă să fie insuflate destinatarului. Sunteți liber să le îmbunătățiți dacă credeți că nu pot atinge acest obiectiv.

Toate șabloanele trebuie să includă Common Boilerplate de mai jos și să anexeze câteva paragrafe suplimentare în funcție de scenariul specific.

Common Boilerplate (Tor Intro)

Adresa IP în cauză este un nod de ieșire Tor.
https://2019.www.torproject.org/about/overview.html.en

Nu putem face prea multe pentru a urmări această problemă mai departe.
După cum se poate vedea din pagina de prezentare generală, rețeaua Tor este concepută pentru a face imposibilă urmărirea utilizatorilor.
Rețeaua Tor este condusă de aproximativ 5000 de voluntari care folosesc software-ul gratuit oferit de proiectul Tor pentru a rula routere Tor.
Conexiunile client sunt dirijate prin mai multe relee și sunt multiplexate împreună pe conexiunile dintre relee.
Sistemul nu înregistrează jurnalele de conexiuni ale clientului sau salturile anterioare.

Acest lucru se datorează faptului că rețeaua Tor este un sistem de rezistență la cenzură, confidențialitate și anonimat, folosit de jurnaliști, disidenți chinezi, care se îmbracă în Marele Firewall, victime ale abuzurilor, ținte de atac, armata americană și forțele de ordine, pentru a numi doar câteva.
Accesați https://www.torproject.org/about/torusers.html.en pentru mami multe informații.

Unfortunately, some people misuse the network. However, compared to the rate of legitimate use (the IP range in question processes nearly a gigabit of traffic per second), [abuse complaints are rare](https://support.torproject.org/abuse/).

Scenarii de abuz

Următoarele alineate specifice scenariului ar trebui să fie anexate la paragrafele Common Boilerplate de mai sus. Placa comună de bază ar trebui să fie prescurtată sau omisă dacă reclamantul este deja familiarizat cu Tor.

Comentariu / Forum Spam

Aceasta nu înseamnă însă că nu se poate face nimic.

Proiectul Tor vă oferă un DNSRBL automat pentru a vă solicita să semnalizați mesajele care provin de la nodurile Tor, deoarece necesită revizuire specială.
You can also use this DNSRBL to only allow Tor IPs to read but not post comments: https://www.torproject.org/projects/tordnsel.html.en

Cu toate acestea, trebuie să fiți conștienți de faptul că aceasta poate fi doar o problemă printre mulți utilizatori legitimi ai Tor care folosesc forumurile dvs.
S-ar putea să aveți noroc să scăpați de acest blocaj, limitând temporar crearea contului pentru a solicita conturile Gmail înainte de postare sau prin a solicita crearea contului prin non-Tor înainte de a fi postate.

În general, considerăm că problemele de acest fel se rezolvă cel mai bine prin îmbunătățirea serviciului dvs. pentru a vă apăra împotriva atacului de pe Internet.
Încercările de conectare prin forță brută pot fi reduse/încetinite de Captchas, care este abordarea adoptată de Gmail pentru aceeași problemă.
De fapt, Google oferă un serviciu gratuit Captcha, complet cu cod pentru includerea ușoară într-o serie de sisteme pentru a ajuta alte site-uri să se ocupe
de această problemă: https://code.google.com/apis/recaptcha/intro.html

Releu PHP sau Spam pentru cont Exploited Webmail

În plus, nodurile noastre nu permit trimiterea traficului SMTP folosind IP-urile noastre.
După investigație, se pare că sursa de spam se datorează unui gateway de webmail abuziv sau compromis care rulează la:
<web server here>.
Ați contactat departamentul de abuzuri?

Google Groups Spam

Se pare că reclamația dvs. de abuz specific a fost generată de un utilizator Google Groups autentificat .
Inspectarea anteturilor relevă că adresa de plângere a abuzurilor pentru grupurile Google este groups-abuse@google.com.
Contactarea acestei adrese vă va oferi mai multe șanse de anulare a contului Google Groups ale acestui abuzator, comparativ cu urmărirea nodurilor Tor, proxie și a punctelor de acces wireless deschise.

În plus, dacă cititorul dvs. de știri acceptă fișiere killfiles, este posibil să fiți interesat să utilizați scriptul listei de excludere Tor Bulk Exit pentru a descărca o listă de IP-uri care să fie incluse în fișierul dvs. killfile  pentru postările care se potrivesc cu "NNTP-Posting-Host:
<ip>" https://check.torproject.org/cgi-bin/TorBulkExitList.py

Atacuri DoS și roboți Scraping

Ne pare rău dacă site-ul dvs. se confruntă cu această încărcare grea de la Tor.

Cu toate acestea, este posibil ca alarmele dvs. de limitare a ratei să fi avut pur și simplu un fals pozitiv din cauza cantității de trafic care circulă prin router.
Oferim servicii aproape unui gigabit de trafic pe secundă, 98% din acestea fiind trafic web.

În cazul în care atacul este real și în curs de desfășurare, cu toate acestea, proiectul Tor oferă un DNSRBL automat pentru tine de a interoga pentru a bloca încercările de conectare care provin de la nodurile Tor: https://www.torproject.org/projects/tordnsel.html.en

De asemenea, este posibil să descărcați o listă cu toate IP-urile de ieșire Tor care se vor conecta la portul serverului:
https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=YOUR_IP&port=80

Cu toate acestea, în general, considerăm că problemele de acest fel se rezolvă cel mai bine prin îmbunătățirea serviciului de apărare împotriva atacului de pe internet.

Răzuirea și activitatea robotului pot fi reduse/încetinite de Captchas, care este abordarea adoptată de Gmail pentru aceeași problemă.
De fapt, Google oferă un serviciu gratuit Captcha, complet cu cod pentru includerea ușoară într-o serie de sisteme pentru a ajuta alte site-uri să se ocupe de această problemă: https://code.google.com/apis/recaptcha/intro.html

Atacurile DoS lente [menite să consume limita Apache MaxClients](http://www.guerilla-ciso.com/archives/2049) pot fi atenuate prin reducerea timpului de expirare httpd.conf și a valorilor de configurare KeepAliveTimeout la 15-30 și creșterea valorilor ServerLimit și MaxClients la ceva de genul 3000.

Dacă acest lucru nu reușește, încercările DoS pot fi rezolvate și cu soluții de limitare a ratei bazate pe iptables, echilibrele de încărcare, cum ar fi nginx, precum și dispozitive IPS, dar fiți conștienți că traficul pe internet nu este întotdeauna uniform cantitativ în funcție de IP, din cauza companiilor mari și chiar outproxies naționale, NAT-uri și servicii precum Tor.
http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/
http://cd34.com/blog/webserver/ddos-attack-mitigation/
http://deflate.medialayer.com/

Atacuri Web Brute Force

Ne pare rău că contul dvs. a fost forțat. Putem încerca să împiedicăm conectarea nodului nostru la acest site, dar din moment ce rețeaua Tor are 800 de ieșiri, acest lucru nu ar opri cu adevărat acțiunea pe termen lung.
Atacatorul ar putea să înlăture un proxy deschis în Tor, sau ar folosi pur și simplu wireless și / sau un proxy fără Tor.

Proiectul Tor oferă un DNSRBL automat care solicită să semnalizați solicitările de la nodurile Tor, deoarece necesită un tratament special: https://www.torproject.org/projects/tordnsel.html.en

În general, considerăm că problemele de acest fel sunt rezolvate cel mai bine prin îmbunătățirea serviciului de apărare împotriva atacului de pe Internet, în loc să se adapteze în mod special comportamentul pentru Tor.
Încercările de conectare prin forță brută pot fi reduse/încetinite de Captchas, care este abordarea adoptată de Gmail pentru aceeași problemă.
De fapt, Google oferă un serviciu gratuit Captcha, complet cu cod pentru includerea ușoară într-o serie de sisteme pentru a ajuta alte site-uri să se ocupe de această problemă: https://code.google.com/apis/recaptcha/intro.html

Încercări Bruteforce SSH

Dacă vă preocupă scanările SSH, puteți lua în considerare rularea SSHD-ului pe un alt port decât pe portul implicit 22.
Mulți viermi, scanere și botnete scanează întregul Internet în căutarea de conectări SSH.
Faptul că au avut loc câteva autentificări provenite de la Tor este probabil un mic efect asupra ratei generale de încercare de autentificare.
Ați putea lua în considerare și o soluție de limitare a ratelor: https://kvz.io/blog/2007/07/28/block-brute-force-attacks-with-iptables/

Dacă de fapt este o problemă gravă specifică Tor, proiectul Tor vă oferă un DNSRBL automat pentru a vă solicita să blocați încercările de conectare care provin de la nodurile Tor: https://www.torproject.org/projects/tordnsel.html.en

De asemenea, este posibil să descărcați o listă cu toate IP-urile de ieșire Tor care se vor conecta la portul SSH: https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=YOUR_IP&port=22

Puteți utiliza această listă pentru a crea reguli iptables pentru a bloca rețeaua.
Cu toate acestea, recomandăm totuși să utilizăm abordarea generală, deoarece atacul va reapărea pur și simplu dintr-un proxy deschis sau alt IP, odată ce Tor este blocat.

Gmail hacked, Forum Web sau Acces la conturi diverse

În ceea ce privește contul dvs., având în vedere că atacatorul a folosit Tor și nu un botnet mare (sau IP-ul mașinii dvs. în sine), este probabil ca parola dvs. să fie prelevată de pe mașina dvs. de la un keylogger, fie să fi fost capturată printr-un chioșc, sau de la un wireless deschis.

Our recommendation is to treat this event as though there was a login from an open wireless access point in your city. Reset your password, and if you don't have antivirus already, download the free AVG: http://free.avg.com/us-en/download, Spybot SD: https://www.safer-networking.org/, and/or AdAware: http://www.lavasoft.com/?domain=lavasoftusa.com.
Utilizați-le pentru scanare și verificare dacă există cheyloggers sau spyware care au fost instalate pe computer.

Pentru a vă proteja în timp ce utilizați wireless deschis, luați în considerare utilizarea acestui plugin Firefox: <https://www.eff.org/https-everywhere/> și încurajați administratorul site-ului să accepte login-uri de tip HTTPS.

Hacking (PHP Webshells, XSS, SQL Injection)

De asemenea, acest lucru nu înseamnă că nu se poate face nimic.
Pentru incidente grave, tehnicile tradiționale de lucru ale poliției de a alerga și a investiga pentru a determina mijloacele, motivul și oportunitatea sunt încă foarte eficiente.

În plus, proiectul Tor oferă un DNSRBL automat pentru a vă solicita să semnalizați vizitatorii care provin de la nodurile Tor, care necesită un tratament special: https://www.torproject.org/projects/tordnsel.html.en.
Aceeași listă este disponibilă prin Lista de ieșire din volumul tor: https://check.torproject.org/cgi-bin/TorBulkExitList.py

Cu toate acestea, în loc să interzicem utilizatorilor legitimi Tor să folosească serviciul în general, vă recomandăm să vă asigurați că aceste servicii sunt actualizate și întreținute pentru a nu prezenta vulnerabilități care pot duce la situații precum aceasta (PHP webshell/XSS compromise/SQL Injection compromise).

Frauda în comerțul electronic

De asemenea, acest lucru nu înseamnă că nu se poate face nimic.
Pentru incidente grave, tehnicile tradiționale de lucru ale poliției de a alerga și a investiga pentru a determina mijloacele, motivul și oportunitatea sunt încă foarte eficiente.

În plus, proiectul Tor oferă un DNSRBL automat pentru a vă solicita să semnalizați comenzile provenind de la nodurile Tor, deoarece necesită o revizuire specială: https://www.torproject.org/projects/tordnsel.html.en

Proiectul oferă, de asemenea, un serviciu Bulk Exit List pentru regăsirea întregii liste: https://check.torproject.org/cgi-bin/TorBulkExitList.py

Puteți utiliza această listă pentru a vă ajuta să aruncați o privire mai atentă la comenzile Tor sau să le mențineți temporar pentru verificare suplimentară, fără a pierde clienți legitimi.

De fapt, din experiența mea, echipele de procesare a fraudelor contractate de mulți ISP-uri marchează pur și simplu toate cererile de la nodurile Tor ca fiind fraudă folosind chiar această listă.
Așadar, este chiar posibil ca aceasta să fie o comandă legitimă, dar care a fost marcată ca fraudă bazată exclusiv pe IP, mai ales dacă contractați detectarea fraudei către o terță parte.

Amenințări de violență (sfaturi pentru discuții în timp real)

Dacă apare o plângere de abuz grav care nu este acoperită de acest set de șabloane, cel mai bun răspuns este să urmați un model cu partea reclamantă. Acesta nu este un sfat juridic. Acest lucru nu a fost scris sau revizuit de un avocat. A fost scrisă de cineva cu experiență în lucrul cu diferiți ISP-uri care au avut probleme cu un nod de ieșire Tor în rețeaua lor. De asemenea, a fost revizuit de cineva care lucrează în abuz la un ISP major.

  • Citiți Prezentare generală Tor. Fiți pregătit să rezumați și să răspundeți la întrebări de bază. Să presupunem că persoana cu care urmează să conversați nu știe nimic despre Tor. Să presupunem că aceeași persoană nu va avea încredere în nimic din ceea ce spui.
    • În cazuri grave, precum e-mail de hărțuire sau amenințări cu moartea, este adesea util să faceți o analogie cu situațiile din lumea fizică în care o acțiune este săvârșită de o persoană anonimă (cum ar fi livrarea notificării prin poștă).
    • Reamintiți-le că poliția poate determina cine a avut mijloacele, motivul și oportunitatea de a comite crima.
  • Aranjați să vorbiți cu sau să vorbiți reclamantul.
  • În timpul conversației, asigurați-vă că explicați câteva puncte:
    • Nu sunteți autorul problemei.
    • Sunteți un operator de server responsabil și preocupat de problema reclamantului.
    • Nu ești nebun. Poate că ești nebun, dar nu vrem ca reclamantul să ghicească că e adevărat.
  • În multe cazuri, ISP-ul dumneavoastră va fi implicat ca un canal pentru reclamantul 3rd party. ISP-ul tău vrea sa stie:
    • Serverul dvs. nu este compromis.
    • Serverul dvs. nu este un releu pentru spam.
    • Serverul dvs. nu este un troian / zombie.
    • Sunteți un administrator de server competent și puteți aborda problema. Minim, puteți cel puțin discuta și să răspundă la problema respectivă în mod inteligent.
    • ISP-ul nu este de vină și nu este răspunzător pentru acțiunile dumneavoastră. Acest lucru este în mod normal cazul, dar săraca persoana de abuz care se ocupă cu problemele doar vrea să audă că nu este problema ISP-urilor. Vor merge mai departe după ce se vor simți comfortabil.
  • Discutați opțiunile. Opțiuni care au fost oferite operatorilor de relee:
    • ISP/Reclamantul poate solicita foarte bine să vadă fișierele jurnal. Din fericire, în mod implicit, nimic sensibil nu este dezvăluit. Este posibil să doriți un nou ISP dacă solicită acces la fișierele jurnal ad-hoc.
    • ISP/Reclamantul vă poate sugera să vă convertiți într-un nod fără ieșire. În acest caz, este posibil să doriți să contracaraceți cu o politică de ieșire redusă, cum ar fi cea sugerată în articolul #6 din postarea de pe blog de mai sus.
    • ISP / Reclamantul solicită să dezactivați Tor. Ca urmare, este posibil să doriți un ISP nou.
    • ISP-ul / reclamantul afirmă că vor paravan de protecție de pe traficul pe porturile implicite. Este posibil să doriți un nou ISP ca rezultat.
    • Actualizați configurația pentru a nu permite traficul într-o anumită gamă IP de la nodul de ieșire. Poate doriți să sugerați reclamantului să utilizeze Tor DNS RBL în schimb.
  • După ce toate au fost discutate, oferă o conversație follow-up în termen de o săptămână. Asigurați-vă că modificările convenite sunt implementate. Nici ISP-ul, nici reclamantul nu pot dori să facă acest lucru, dar faptul că ați oferit este în creditul dumneavoastră. Acest lucru îi poate ajuta să se simtă "confortabil" cu tine.

Alte seturi de șabloane