Abi eest teatanud domeen ei ole alati pahatahtlik domeen. Mõnikord satub seaduslik äridomeen kompromiteerimise ohvriks läbi häkitud majutuse, varastatud mandaadi, haavatavate pistikprogrammide, volitamata DNS-i muudatuste või kuritarvitatud e-posti seadete tõttu. Teinekord võib domeen tunduda registreeritud peamiselt kalastamiseks, pahavara, botneti tegevuse, farmingu või muude DNS-i kuritarvituste jaoks. Erinevus on oluline, sest NiceNIC vaatleb kuritarvitusteateid tõendusmaterjali, konteksti, raskusastme, jätkuva kahju ja proportsionaalse tegevuse alusel. Kui teie domeen kompromiteeriti, peaksite kiiresti tegutsema, probleemi lahendama, keskkonna turvama ja esitama paranduse tõendid ametliku NiceNIC toe või kuritarvituskanali kaudu.
Miks see probleem on domeenide omanikele ja edasimüüjatele oluline
Domeeni omaniku jaoks võib kuritarvitusena teatamine tunduda nagu süüdi mõistmine enne faktide selgumist. Edasimüüja jaoks võib olukord olla veel keerulisem, sest teate võib saada edasimüüja, samal ajal kui lõppklient kontrollib veebisaiti, majutust, e-posti või CMS-i.
Erinevus kompromiteeritud domeeni ja pahatahtliku registreerimise vahel on üks olulisemaid küsimusi kuritarvituste käsitlemisel.
Kompromiteeritud seaduslik domeen võib kuuluda tõelisele ettevõttele, agentuurile, mittetulundusühingule, arendajale, veebipoele või pikaajalisele kliendile. Domeen võis normaalselt toimida kuude või aastate jooksul enne turvaintsidenti.
Pahatahtlik registreerimine võib seevastu näidata märke, et domeen loodi või soetati peamiselt kuritarvituste jaoks. See võib olla hiljuti registreeritud, kasutada eksitavaid nimetamisviise, majutada kalastuslehti, suunata kasutajaid kahjuliku sisuni või ilmuda mitmes turvalisusaruanneis peagi pärast registreerimist.
Neid kahte olukorda ei tohiks vaikimisi samaks pidada. NiceNIC eesmärk on kaitsta seaduslikke domeenide omanikke ja edasimüüjaid, samal ajal kui vastutustundlikult tegeletakse kinnitatud DNS-i kuritarvitustega. See tähendab faktide läbivaatamist, kliendi võimalust esitada vajadusel paranduse tõendeid ja vältida tarbetut katkestust, kui vähem kahjulik vastus suudab riski vähendada.
Mida kaebus või kuritarvitussignaal tähendab ja ei tähenda
Kuritarvitusteade on signaal, mis vajab läbivaatamist. See ei ole automaatselt tõendus, et domeeni omanik on teadlikult kuritarvitanud.
Kaebus või kuritarvitussignaal võib tähendada:
domeenil leiti kalastusleht;
tuvastati pahavara fail;
täheldati kahtlast suunamist;
alamdomeeni, mida võidakse kuritarvitada;
domeeni või sellega seotud infrastruktuuri kaudu võidakse saata rämpsposti;
domeen ilmub kolmanda osapoole turvalisusnimekirjas;
teataja arvab, et domeen on seotud kahjuliku tegevusega;
NiceNIC vajab selgitust, paranduse tõendeid või täiendavat läbivaatamist.
Kaebus ei tähenda automaatselt:
et registreerija registreeris domeeni teadlikult kuritarvitamiseks;
et kogu domeen on pahatahtlik;
et domeeni omanik teadis probleemist;
et peatamine on alati esimene või ainus sobiv samm;
et kaebaja aruanne on täielik või lõplik;
et domeeni ei saa pärast puhastamist uuesti läbi vaadata;
et edasimüüja kogu konto on vastutav ühe lõppkliendi probleemi eest.
ICANN-iga seotud kuritarvituste käsitlemisel hõlmab DNS-i kuritarvitusi üldiselt pahavara, botnete, kalastamist, farmingu ja rämpsposti juhul, kui rämpspost on nende DNS-kuritarvituste levitamise mehhanism. Mitte iga kaebus autoriõiguse, kaubamärgi, ärikäitumise, veebisisu, tagasimaksete vaidluste või kliendi vaidluste kohta ei ole automaatselt DNS-i kuritarvitus.
Seepärast on klassifitseerimine oluline. Häkitud veebisait, aegunud pistikprogramm, varastatud postkasti parool ja tahtlikult registreeritud kalastusdomeen vajavad erinevat läbivaatamist ja reageerimisteed.
Kuidas NiceNIC probleemi õiglaselt käsitleb
NiceNIC vaatleb kuritarvitusjuhtumeid vastavalt NiceNIC kuritarvituste käsitlemise käsiraamatule, lähtudes tõendusmaterjalist, kontekstist, praegusest riskist ja proportsionaalsest leevendusest.
Läbivaatamise käigus võib NiceNIC arvestada:
Praktiline läbivaatamisküsimus on: kas tegemist on seadusliku, kuid kompromiteeritud domeeniga, mida saab parandada, või viitavad kättesaadavad tõendid sellele, et domeen ise kasutatakse kuritarvitusoperatsiooni osana?
Vastus mõjutab sobivat järgmist sammu.
Kuidas tavaliselt näeb välja kompromiteeritud domeen
Kompromiteeritud domeen on tavaliselt seaduslik domeen, mida on omaniku teadmata kuritarvitatud.
Tüüpilised tunnused on:
Mida peaksid domeeni omanikud või edasimüüjad kohe tegema
Kui teie domeen on teatatud ja usute, et see on kompromiteeritud, mitte pahatahtlikult registreeritud, tegutsege kiiresti.
Esiteks logige sisse oma NiceNIC kontole ja vaadake domeeni staatust. Kasutage Kuidas kontrollida oma domeeni kuritarvituse staatust NiceNIC-s , et mõista, kas domeen on läbivaatamisel, piiranguga või ootab kliendi tegutsemist. Kui saadaval, vaadake üle Kuidas vaadata oma domeeni kuritarvituskaebuse kokkuvõtet teatatud probleemi tuvastamiseks.
Teiseks kontrollige täpset teatatud eset. Ära vaata ainult avalehte. Vaadake läbi teatatud URL, alamdomeen, failirada, suunamine, e-posti käitumine või kolmanda osapoole nimekirja.
Kolmandaks turvake mõjutatud keskkond. Kontrollige veebisaidi faile, CMS-i kasutajaid, pistikprogramme, teemasid, DNS-kirjeid, nimeservereid, MX-kirjeid, e-posti logisid, majutuse ligipääsulogi ja kolmanda osapoole teenuseid. Eemaldage tundmatud kasutajad, lähtestage paroolid, uuendage tarkvara, kustutage pahatahtlikud failid ja keelake kahtlased skriptid.
Neljandaks võtke ühendust oma majutusteenuse pakkujaga, kui majutus on seotud. Paluge pahavara skaneerimist, puhastamise kinnitust ja kirjalikke märkmeid, mis näitavad, mis leiti ja eemaldati.
Viiendaks vastake ametliku NiceNIC toe või kuritarvituskanali kaudu faktidega ja tõenditega. Ärge saatke ainult üldist eitust.
Edasimüüjana võtke kohe ühendust lõppkliendiga. Paluge tehnilisi tõendeid, mitte ainult suuline avaldus. Seejärel vastake NiceNIC-le selge kokkuvõtte ja manusfailidega.
Millised tõendid või parandustöö materjalid on kasulikud
Kasulikud tõendid võivad sisaldada:
Hea vastus peaks vastama neljale küsimusele:
Kui teie domeen on märgitud kolmanda osapoole allika poolt, vaadake üle Miks teie domeen on VirusTotal-i, Spamhausi, Nortoni ja URLScan.io poolt märgistatud ja mida teha ning esitage asjakohased puhastus- või eemaldustõendid.
Kui te pole kindel, kas kaebus on DNS-i kuritarvitus, vaadake üle Mis on DNS-i kuritarvitus? Selge juhend ICANN-i DNS-i kuritarvituste vs mitte-DNS-i kuritarvituste kohta.
Mida NiceNIC võib vastavalt olukorrale teha
NiceNIC reageerimine sõltub tõendusmaterjalist, raskusastmest ja sellest, kas probleem on jätkuv.
Võimalikud tegevused võivad hõlmata:
Kui domeen tundub kompromiteeritud ja omanik reageerib kiiresti usaldusväärsete puhastustõenditega, keskendub läbivaatus parandusele ja riski vähendamisele. Kui domeen tundub pahatahtlikult registreeritud ja kuritarvitus on aktiivne, võib olla vajalik rangem leevendus.
State’iga seotud juhiste saamiseks vaadake Miks domeene peatatakse ja kuidas vältida clientHold'i ja NiceNIC kuritarvituste käsitlemise käsiraamatut.
Kokkuvõte
Kui teie domeen on teatatud kuritarvituse eest, määrake esmalt, kas probleem näib olevat kompromiteeritud seaduslik domeen või pahatahtlik kasutuskahtlus.
Logige sisse oma NiceNIC kontole, kontrollige domeeni staatust, vaadake kaebuse kokkuvõtet, kui see on saadaval, kontrollige täpset teatatud URL-i või signaali, kindlustage oma veebisait, DNS, e-post ja majutuskeskkond ning esitage puhastustõendid või selgitus ametliku pileti või kuritarvituskanali kaudu.
Uute domeenide planeerimiseks kasutage domeeninime otsingut, et valida domeene hoolikalt. Portfelli liigutamisel vaadake üle Domeeni ülekandmine enne domeenide liigutamist aktiivsete staatustega. Partneritele, kes haldavad kliendi domeene, Domeeni edasimüüja ja Edasimüüja API aitavad luua selgemaid töövooge kliendisuhtluseks, tõendite kogumiseks ja domeenihalduseks.
NiceNIC eesmärk on kaitsta seaduslikke domeenide omanikke ja edasimüüjaid, samal ajal kui vastutustundlikult tegeletakse kinnitatud DNS-kuritarvitustega ja hoitakse DNS-ökosüsteemi turvalisena.
Miks see probleem on domeenide omanikele ja edasimüüjatele oluline
Domeeni omaniku jaoks võib kuritarvitusena teatamine tunduda nagu süüdi mõistmine enne faktide selgumist. Edasimüüja jaoks võib olukord olla veel keerulisem, sest teate võib saada edasimüüja, samal ajal kui lõppklient kontrollib veebisaiti, majutust, e-posti või CMS-i.
Erinevus kompromiteeritud domeeni ja pahatahtliku registreerimise vahel on üks olulisemaid küsimusi kuritarvituste käsitlemisel.
Kompromiteeritud seaduslik domeen võib kuuluda tõelisele ettevõttele, agentuurile, mittetulundusühingule, arendajale, veebipoele või pikaajalisele kliendile. Domeen võis normaalselt toimida kuude või aastate jooksul enne turvaintsidenti.
Pahatahtlik registreerimine võib seevastu näidata märke, et domeen loodi või soetati peamiselt kuritarvituste jaoks. See võib olla hiljuti registreeritud, kasutada eksitavaid nimetamisviise, majutada kalastuslehti, suunata kasutajaid kahjuliku sisuni või ilmuda mitmes turvalisusaruanneis peagi pärast registreerimist.
Neid kahte olukorda ei tohiks vaikimisi samaks pidada. NiceNIC eesmärk on kaitsta seaduslikke domeenide omanikke ja edasimüüjaid, samal ajal kui vastutustundlikult tegeletakse kinnitatud DNS-i kuritarvitustega. See tähendab faktide läbivaatamist, kliendi võimalust esitada vajadusel paranduse tõendeid ja vältida tarbetut katkestust, kui vähem kahjulik vastus suudab riski vähendada.
Mida kaebus või kuritarvitussignaal tähendab ja ei tähenda
Kuritarvitusteade on signaal, mis vajab läbivaatamist. See ei ole automaatselt tõendus, et domeeni omanik on teadlikult kuritarvitanud.
Kaebus või kuritarvitussignaal võib tähendada:
domeenil leiti kalastusleht;
tuvastati pahavara fail;
täheldati kahtlast suunamist;
alamdomeeni, mida võidakse kuritarvitada;
domeeni või sellega seotud infrastruktuuri kaudu võidakse saata rämpsposti;
domeen ilmub kolmanda osapoole turvalisusnimekirjas;
teataja arvab, et domeen on seotud kahjuliku tegevusega;
NiceNIC vajab selgitust, paranduse tõendeid või täiendavat läbivaatamist.
Kaebus ei tähenda automaatselt:
et registreerija registreeris domeeni teadlikult kuritarvitamiseks;
et kogu domeen on pahatahtlik;
et domeeni omanik teadis probleemist;
et peatamine on alati esimene või ainus sobiv samm;
et kaebaja aruanne on täielik või lõplik;
et domeeni ei saa pärast puhastamist uuesti läbi vaadata;
et edasimüüja kogu konto on vastutav ühe lõppkliendi probleemi eest.
ICANN-iga seotud kuritarvituste käsitlemisel hõlmab DNS-i kuritarvitusi üldiselt pahavara, botnete, kalastamist, farmingu ja rämpsposti juhul, kui rämpspost on nende DNS-kuritarvituste levitamise mehhanism. Mitte iga kaebus autoriõiguse, kaubamärgi, ärikäitumise, veebisisu, tagasimaksete vaidluste või kliendi vaidluste kohta ei ole automaatselt DNS-i kuritarvitus.
Seepärast on klassifitseerimine oluline. Häkitud veebisait, aegunud pistikprogramm, varastatud postkasti parool ja tahtlikult registreeritud kalastusdomeen vajavad erinevat läbivaatamist ja reageerimisteed.
Kuidas NiceNIC probleemi õiglaselt käsitleb
NiceNIC vaatleb kuritarvitusjuhtumeid vastavalt NiceNIC kuritarvituste käsitlemise käsiraamatule, lähtudes tõendusmaterjalist, kontekstist, praegusest riskist ja proportsionaalsest leevendusest.
Läbivaatamise käigus võib NiceNIC arvestada:
- kas teade sisaldab tegutsemiseks sobivaid tõendeid;
- kas täpselt teatatud URL on endiselt aktiivne;
- kas probleem mõjutab kogu domeeni või ainult konkreetset URL-i, failirada, alamdomeeni, suunamist või e-posti voogu;
- kas domeen on äsja registreeritud või pikaajaliselt olemas olnud;
- kas domeenil on seaduslik äriotstarve;
- kas domeen tundub teadlikult eksitav;
- kas probleem tuleneb majutusest, DNS-ist, e-postist, CMS-ist või kolmanda osapoole teenustest;
- kas domeeni omanik või edasimüüja on vastanud;
- kas on esitatud puhastus- või parandusetõendeid;
- kas kiire leevendus on vajalik jätkuva kahju peatamiseks;
- kas vähem häiriv tegevus võib piisata.
Praktiline läbivaatamisküsimus on: kas tegemist on seadusliku, kuid kompromiteeritud domeeniga, mida saab parandada, või viitavad kättesaadavad tõendid sellele, et domeen ise kasutatakse kuritarvitusoperatsiooni osana?
Vastus mõjutab sobivat järgmist sammu.
Kuidas tavaliselt näeb välja kompromiteeritud domeen
Kompromiteeritud domeen on tavaliselt seaduslik domeen, mida on omaniku teadmata kuritarvitatud.
Tüüpilised tunnused on:
- domeenil on väljakujunenud veebisait või äriline eesmärk;
- probleem ilmneb järsku pärast normaalset toimimist;
- mõjutatud on ainult konkreetne URL, kaust, alamdomeen või skript;
- avaleht võib veel näida normaalne;
- kuritarvitus võib hõlmata peidetud faile, süstitud lehti või suunamisi;
- omanik suudab kompromiteerimise tuvastada ja eemaldada;
- majutusteenuse pakkuja saab kinnitada puhastamise;
- klient saab näidata parandamise samme.
- WordPressi pistikprogrammi turvanõrkus tekitab peidetud kalastuslehed;
- vana CMS-i installatsioon majutab pahavara;
- e-posti parool varastatakse ja kasutatakse rämpsposti saatmiseks;
- veebisaidi failidesse süstitakse suunamisskript;
- alamdomeen näitab kompromiteeritud kolmanda osapoole teenusele;
- pärast kontovõtmete lekkimist muudetakse DNS-kirjeid.
Mida peaksid domeeni omanikud või edasimüüjad kohe tegema
Kui teie domeen on teatatud ja usute, et see on kompromiteeritud, mitte pahatahtlikult registreeritud, tegutsege kiiresti.
Esiteks logige sisse oma NiceNIC kontole ja vaadake domeeni staatust. Kasutage Kuidas kontrollida oma domeeni kuritarvituse staatust NiceNIC-s , et mõista, kas domeen on läbivaatamisel, piiranguga või ootab kliendi tegutsemist. Kui saadaval, vaadake üle Kuidas vaadata oma domeeni kuritarvituskaebuse kokkuvõtet teatatud probleemi tuvastamiseks.
Teiseks kontrollige täpset teatatud eset. Ära vaata ainult avalehte. Vaadake läbi teatatud URL, alamdomeen, failirada, suunamine, e-posti käitumine või kolmanda osapoole nimekirja.
Kolmandaks turvake mõjutatud keskkond. Kontrollige veebisaidi faile, CMS-i kasutajaid, pistikprogramme, teemasid, DNS-kirjeid, nimeservereid, MX-kirjeid, e-posti logisid, majutuse ligipääsulogi ja kolmanda osapoole teenuseid. Eemaldage tundmatud kasutajad, lähtestage paroolid, uuendage tarkvara, kustutage pahatahtlikud failid ja keelake kahtlased skriptid.
Neljandaks võtke ühendust oma majutusteenuse pakkujaga, kui majutus on seotud. Paluge pahavara skaneerimist, puhastamise kinnitust ja kirjalikke märkmeid, mis näitavad, mis leiti ja eemaldati.
Viiendaks vastake ametliku NiceNIC toe või kuritarvituskanali kaudu faktidega ja tõenditega. Ärge saatke ainult üldist eitust.
Edasimüüjana võtke kohe ühendust lõppkliendiga. Paluge tehnilisi tõendeid, mitte ainult suuline avaldus. Seejärel vastake NiceNIC-le selge kokkuvõtte ja manusfailidega.
Millised tõendid või parandustöö materjalid on kasulikud
Kasulikud tõendid võivad sisaldada:
- kuvaripilte, mis näitavad, et teatatud URL on eemaldatud või puhas;
- pahavara skaneerimise tulemusi;
- majutusteenuse pakkuja kinnitust puhastamise kohta;
- serveri logisid, mis näitavad probleemi taandarengut;
- CMS-i puhastamise kirjete;
- DNS-i enne ja pärast ekraanipilte;
- parooli lähtestamise kinnitust;
- kahtlaste kasutajate eemaldamise isiklikke kirjeid;
- e-posti logide ülevaadet;
- tõendusmaterjali, et kuritarvitatud SMTP mandaadid keelati;
- kolmanda osapoole eemaldamise taotluste või kinnituste koopiat;
- lühikest parandamise ajakava;
- edasimüüja märkusi lõppkliendilt koos tehnilise tõendiga.
Hea vastus peaks vastama neljale küsimusele:
- Mida teatati?
- Kas probleem kinnitati?
- Mida te tegite selle parandamiseks?
- Millised tõendid näitavad, et domeen on nüüd turvaline või et teade oli vale?
Kui teie domeen on märgitud kolmanda osapoole allika poolt, vaadake üle Miks teie domeen on VirusTotal-i, Spamhausi, Nortoni ja URLScan.io poolt märgistatud ja mida teha ning esitage asjakohased puhastus- või eemaldustõendid.
Kui te pole kindel, kas kaebus on DNS-i kuritarvitus, vaadake üle Mis on DNS-i kuritarvitus? Selge juhend ICANN-i DNS-i kuritarvituste vs mitte-DNS-i kuritarvituste kohta.
Mida NiceNIC võib vastavalt olukorrale teha
NiceNIC reageerimine sõltub tõendusmaterjalist, raskusastmest ja sellest, kas probleem on jätkuv.
Võimalikud tegevused võivad hõlmata:
- täiendavate konkreetsete tõendite küsimist teatajalt;
- selgituste küsimist domeeni omanikult või edasimüüjalt;
- paranduse tõendite nõudmist;
- vajadusel puhastamiseks aja andmist;
- domeeni jälgimist pärast puhastamist;
- domeenil põhinevate meetmete mitte rakendamist, kui teade ei ole tegutsemiseks sobiv või ei ole kinnitatav;
- ajutiste piirangute rakendamist, kui kinnitatud kuritarvitus jätkub;
- kliendi hoidmise (clientHold) rakendamist, kus see on vajalik kinnitatud DNS-i kuritarvituse peatamiseks;
- koostööd registriga, kui registreerimistasandi tegevus on vajalik;
- kuritarvituste käsitlemise kirjetega vastavuse ja auditi tarbeks.
Kui domeen tundub kompromiteeritud ja omanik reageerib kiiresti usaldusväärsete puhastustõenditega, keskendub läbivaatus parandusele ja riski vähendamisele. Kui domeen tundub pahatahtlikult registreeritud ja kuritarvitus on aktiivne, võib olla vajalik rangem leevendus.
State’iga seotud juhiste saamiseks vaadake Miks domeene peatatakse ja kuidas vältida clientHold'i ja NiceNIC kuritarvituste käsitlemise käsiraamatut.
Kokkuvõte
Kui teie domeen on teatatud kuritarvituse eest, määrake esmalt, kas probleem näib olevat kompromiteeritud seaduslik domeen või pahatahtlik kasutuskahtlus.
Logige sisse oma NiceNIC kontole, kontrollige domeeni staatust, vaadake kaebuse kokkuvõtet, kui see on saadaval, kontrollige täpset teatatud URL-i või signaali, kindlustage oma veebisait, DNS, e-post ja majutuskeskkond ning esitage puhastustõendid või selgitus ametliku pileti või kuritarvituskanali kaudu.
Uute domeenide planeerimiseks kasutage domeeninime otsingut, et valida domeene hoolikalt. Portfelli liigutamisel vaadake üle Domeeni ülekandmine enne domeenide liigutamist aktiivsete staatustega. Partneritele, kes haldavad kliendi domeene, Domeeni edasimüüja ja Edasimüüja API aitavad luua selgemaid töövooge kliendisuhtluseks, tõendite kogumiseks ja domeenihalduseks.
NiceNIC eesmärk on kaitsta seaduslikke domeenide omanikke ja edasimüüjaid, samal ajal kui vastutustundlikult tegeletakse kinnitatud DNS-kuritarvitustega ja hoitakse DNS-ökosüsteemi turvalisena.
SEOTUD UUDISED:
Viimased uudised:
Miks nõuame tõendusmaterjali enne domeeni tasandi meetmeid
Järgmised uudised: Kuidas NiceNIC saadab väärkasutusteateid ja mida domeeniomanikud peaksid kontrollima
Järgmised uudised: Kuidas NiceNIC saadab väärkasutusteateid ja mida domeeniomanikud peaksid kontrollima







