Зарегистрированный домен, о котором сообщается в связи с злоупотреблением, не всегда является зловредным доменом. Иногда законный домен бизнеса компрометируется через взломанный хостинг, украденные учетные данные, уязвимые плагины, несанкционированные изменения DNS или злоупотребление настройками электронной почты. В других случаях домен может выглядеть так, будто он был зарегистрирован главным образом для фишинга, распространения вредоносного ПО, ботнета, фарминга или других видов злоупотреблений DNS. Различия имеют значение, поскольку NiceNIC рассматривает жалобы на основе доказательств, контекста, степени серьёзности, продолжающегося вреда и пропорциональных мер. Если ваш домен был скомпрометирован, вам следует быстро действовать, устранить проблему, обезопасить среду и предоставить доказательства исправления через официальную поддержку NiceNIC или канал злоупотреблений.
Почему эта проблема важна для владельцев и реселлеров доменов
Для владельца домена сообщение о злоупотреблении может ощущаться как обвинение до того, как факты станут ясны. Для реселлера ситуация может быть ещё сложнее, так как уведомление может получить реселлер, в то время как конечный клиент контролирует веб-сайт, хостинг, почту или CMS.
Различие между скомпрометированным доменом и зловредной регистрацией является одним из важнейших вопросов при обработке жалоб на злоупотребление.
Скомпрометированный законный домен может принадлежать реальному бизнесу, агентству, некоммерческой организации, разработчику, интернет-магазину или долгосрочному клиенту. Домен мог нормально работать месяцами или годами до произошедшего инцидента с безопасностью.
Зловредная регистрация, наоборот, может иметь признаки того, что домен был создан или приобретён главным образом для злоупотребления. Он может быть недавно зарегистрирован, использовать обманчивые имена, хостить фишинговые страницы, перенаправлять пользователей на вредоносный контент или появляться в нескольких отчетах безопасности вскоре после регистрации.
Эти две ситуации не должны автоматически рассматриваться одинаково. Цель NiceNIC — защитить законных владельцев доменов и реселлеров, одновременно ответственно решая подтверждённые злоупотребления DNS. Это означает рассмотрение фактов, предоставление возможности представлять доказательства исправления при необходимости и избегание излишних перебоев, когда менее жесткий ответ может решить риск.
Что означает и чего не означает жалоба или сигнал о злоупотреблении
Жалоба о злоупотреблении — это сигнал, требующий рассмотрения. Это не является автоматическим доказательством того, что владелец домена намеренно совершил злоупотребление.
Жалоба или сигнал о злоупотреблении могут означать:
на домене обнаружена фишинговая страница;
обнаружен файл с вредоносным ПО;
замечено подозрительное перенаправление;
может злоупотребляться субдомен;
возможно отправлен спам с использованием домена или связанной инфраструктуры;
домен указан в стороннем списке безопасности;
заявитель считает, что домен связан с вредоносной активностью;
NiceNIC требуется уточнение, доказательства исправления или дополнительный обзор.
Жалоба автоматически не означает:
что регистрант сознательно зарегистрировал домен для злоупотребления;
что весь домен является зловредным;
что владелец домена был в курсе проблемы;
что приостановка является всегда первым или единственным уместным шагом;
что отчет заявителя является полным или окончательным;
что домен не может быть рассмотрен после очистки;
что вся учетная запись реселлера ответственна за проблему одного конечного клиента.
В обработке злоупотреблений, связанной с ICANN, злоупотребления DNS обычно включают вредоносное ПО, ботнеты, фишинг, фарминг и спам, когда спам используется как механизм доставки этих видов злоупотреблений DNS. Не каждая жалоба, связанная с авторским правом, товарным знаком, поведением в бизнесе, содержанием сайта, спорами о возврате или разногласиями с клиентом, является автоматически злоупотреблением DNS.
Вот почему важно классифицировать. Взломанный сайт, устаревший плагин, украденный пароль почтового ящика и умышленно зарегистрированный фишинговый домен требуют различных способов рассмотрения и реагирования.
Как NiceNIC справедливо рассматривает проблему
NiceNIC рассматривает случаи злоупотребления согласно Руководству по работе с жалобами NiceNIC, основываясь на доказательствах, контексте, текущем риске и пропорциональных мерах смягчения.
Во время рассмотрения NiceNIC может учитывать:
Практический вопрос при рассмотрении: Является ли это законный домен, который был скомпрометирован и может быть восстановлен, или доступные доказательства указывают, что домен используется в рамках злоупотребления?
Ответ влияет на соответствующее дальнейшее действие.
Как обычно выглядит скомпрометированный домен
Скомпрометированный домен обычно является законным доменом, который эксплуатируется без намерения владельца.
Общие признаки включают:
Что владельцы доменов или реселлеры должны делать немедленно
Если о вашем домене сообщили и вы считаете, что он был скомпрометирован, а не зарегистрирован злонамеренно, действуйте быстро.
Во-первых, войдите в свой аккаунт NiceNIC и проверьте статус домена. Используйте Как проверить статус злоупотребления вашим доменом в NiceNIC чтобы понять, находится ли домен на рассмотрении, ограничен или ожидает действия клиента. Если доступно, просмотрите Как просмотреть сводку жалобы по вашему домену чтобы определить заявленную проблему.
Во-вторых, проверьте точный указанный элемент. Не ограничивайтесь только домашней страницей. Проверьте указанный URL, субдомен, путь к файлу, перенаправление, поведение почты или сторонний список.
В-третьих, обезопасьте затронутую среду. Проверьте файлы сайта, пользователей CMS, плагины, темы, записи DNS, имена серверов, MX-записи, журналы почты, журналы доступа к хостингу и сторонние сервисы. Удалите неизвестных пользователей, сбросьте пароли, обновите программное обеспечение, удалите вредоносные файлы и отключите подозрительные скрипты.
В-четвёртых, если проблема с хостингом, свяжитесь с провайдером хостинга. Запросите сканирование на вредоносное ПО, подтверждение очистки, а также письменные заметки о том, что было обнаружено и удалено.
В-пятых, ответьте через официальный канал поддержки или канал злоупотреблений NiceNIC с фактами и доказательствами. Не присылайте только общее отрицание.
Для реселлеров свяжитесь с конечным клиентом незамедлительно. Запросите технические доказательства, а не просто устное заявление. Затем ответьте NiceNIC с четким резюме и приложениями.
Какие доказательства или материалы по исправлению полезны
Полезные доказательства могут включать:
Хороший ответ должен отвечать на четыре вопроса:
Если ваш домен отмечен сторонним источником, ознакомьтесь с Почему ваш домен отмечен VirusTotal, Spamhaus, Norton и URLScan.io и что делать и предоставьте соответствующие доказательства очистки или удаления из списков.
Если вы не уверены, относится ли жалоба к злоупотреблению DNS, просмотрите Что такое злоупотребление DNS? Четкое руководство по злоупотреблениям DNS ICANN и не-злоупотреблениям DNS.
Что NiceNIC может сделать в зависимости от ситуации
Ответ NiceNIC зависит от доказательств, степени серьёзности и того, продолжается ли проблема.
Возможные действия могут включать:
Если домен кажется скомпрометированным и владелец быстро отвечает с достоверными доказательствами очистки, рассмотрение может сосредоточиться на исправлении и снижении риска. Если домен кажется злонамеренно зарегистрированным и злоупотребление активно, может потребоваться более строгие меры снижения.
Для рекомендаций по статусу ознакомьтесь с Почему домены приостанавливаются и как избежать clientHold и Руководством по работе с жалобами NiceNIC.
Заключение
Если о вашем домене сообщили в связи с злоупотреблением, сначала определите, является ли проблема скомпрометированным законным доменом или обвинением в злонамеренном использовании.
Войдите в свой аккаунт NiceNIC, проверьте статус домена, ознакомьтесь со сводкой жалобы, если доступна, проверьте точный указанный URL или сигнал, обезопасьте свой веб-сайт, DNS, почту и среду хостинга и отправьте доказательства очистки или разъяснения через официальный тикет или канал для жалоб.
Для планирования новых доменов используйте Поиск доменных имен для тщательного выбора. Для перемещения портфеля доменов изучите Процесс передачи доменов перед перемещением доменов с активными проблемами статуса. Для партнеров, управляющих доменами клиентов, Реселлер доменов и Reseller API помогут создать более четкие рабочие процессы для общения с клиентами, сбора доказательств и управления доменами.
NiceNIC ставит цель защищать законных владельцев доменов и реселлеров, ответственно реагируя на подтверждённые злоупотребления DNS и обеспечивая безопасность экосистемы DNS.
Почему эта проблема важна для владельцев и реселлеров доменов
Для владельца домена сообщение о злоупотреблении может ощущаться как обвинение до того, как факты станут ясны. Для реселлера ситуация может быть ещё сложнее, так как уведомление может получить реселлер, в то время как конечный клиент контролирует веб-сайт, хостинг, почту или CMS.
Различие между скомпрометированным доменом и зловредной регистрацией является одним из важнейших вопросов при обработке жалоб на злоупотребление.
Скомпрометированный законный домен может принадлежать реальному бизнесу, агентству, некоммерческой организации, разработчику, интернет-магазину или долгосрочному клиенту. Домен мог нормально работать месяцами или годами до произошедшего инцидента с безопасностью.
Зловредная регистрация, наоборот, может иметь признаки того, что домен был создан или приобретён главным образом для злоупотребления. Он может быть недавно зарегистрирован, использовать обманчивые имена, хостить фишинговые страницы, перенаправлять пользователей на вредоносный контент или появляться в нескольких отчетах безопасности вскоре после регистрации.
Эти две ситуации не должны автоматически рассматриваться одинаково. Цель NiceNIC — защитить законных владельцев доменов и реселлеров, одновременно ответственно решая подтверждённые злоупотребления DNS. Это означает рассмотрение фактов, предоставление возможности представлять доказательства исправления при необходимости и избегание излишних перебоев, когда менее жесткий ответ может решить риск.
Что означает и чего не означает жалоба или сигнал о злоупотреблении
Жалоба о злоупотреблении — это сигнал, требующий рассмотрения. Это не является автоматическим доказательством того, что владелец домена намеренно совершил злоупотребление.
Жалоба или сигнал о злоупотреблении могут означать:
на домене обнаружена фишинговая страница;
обнаружен файл с вредоносным ПО;
замечено подозрительное перенаправление;
может злоупотребляться субдомен;
возможно отправлен спам с использованием домена или связанной инфраструктуры;
домен указан в стороннем списке безопасности;
заявитель считает, что домен связан с вредоносной активностью;
NiceNIC требуется уточнение, доказательства исправления или дополнительный обзор.
Жалоба автоматически не означает:
что регистрант сознательно зарегистрировал домен для злоупотребления;
что весь домен является зловредным;
что владелец домена был в курсе проблемы;
что приостановка является всегда первым или единственным уместным шагом;
что отчет заявителя является полным или окончательным;
что домен не может быть рассмотрен после очистки;
что вся учетная запись реселлера ответственна за проблему одного конечного клиента.
В обработке злоупотреблений, связанной с ICANN, злоупотребления DNS обычно включают вредоносное ПО, ботнеты, фишинг, фарминг и спам, когда спам используется как механизм доставки этих видов злоупотреблений DNS. Не каждая жалоба, связанная с авторским правом, товарным знаком, поведением в бизнесе, содержанием сайта, спорами о возврате или разногласиями с клиентом, является автоматически злоупотреблением DNS.
Вот почему важно классифицировать. Взломанный сайт, устаревший плагин, украденный пароль почтового ящика и умышленно зарегистрированный фишинговый домен требуют различных способов рассмотрения и реагирования.
Как NiceNIC справедливо рассматривает проблему
NiceNIC рассматривает случаи злоупотребления согласно Руководству по работе с жалобами NiceNIC, основываясь на доказательствах, контексте, текущем риске и пропорциональных мерах смягчения.
Во время рассмотрения NiceNIC может учитывать:
- есть ли в жалобе конкретные доказательства, поддающиеся действиям;
- активен ли точный указанный URL;
- затрагивается ли вся доменная зона или только конкретный URL, путь к файлу, субдомен, перенаправление или почтовый поток;
- является ли домен недавно зарегистрированным или давно существующим;
- имеет ли домен законное деловое использование;
- выглядит ли домен намеренно обманчивым;
- происходит ли проблема из хостинга, DNS, почты, CMS или сторонних сервисов;
- ответили ли владелец домена или реселлер;
- были ли предоставлены доказательства очистки;
- требуется ли срочное смягчение для прекращения продолжающегося вреда;
- может ли быть достаточно менее деструктивного действия.
Практический вопрос при рассмотрении: Является ли это законный домен, который был скомпрометирован и может быть восстановлен, или доступные доказательства указывают, что домен используется в рамках злоупотребления?
Ответ влияет на соответствующее дальнейшее действие.
Как обычно выглядит скомпрометированный домен
Скомпрометированный домен обычно является законным доменом, который эксплуатируется без намерения владельца.
Общие признаки включают:
- домен имеет существующий веб-сайт или деловое назначение;
- проблема появляется внезапно после нормальной работы;
- затрагивается только конкретный URL, папка, субдомен или скрипт;
- домашняя страница может выглядеть нормально;
- злоупотребление может включать скрытые файлы, внедренные страницы или перенаправления;
- владелец может идентифицировать и удалить компрометацию;
- провайдер хостинга может подтвердить очистку;
- клиент может предоставить доказательства исправления.
- уязвимость плагина WordPress создает скрытые фишинговые страницы;
- старый CMS используется для хостинга вредоносного ПО;
- украден пароль электронной почты и используется для спама;
- внедрен скрипт перенаправления в файлы сайта;
- субдомен указывает на скомпрометированный сторонний сервис;
- записи DNS изменяются после утечки учетных данных аккаунта.
Что владельцы доменов или реселлеры должны делать немедленно
Если о вашем домене сообщили и вы считаете, что он был скомпрометирован, а не зарегистрирован злонамеренно, действуйте быстро.
Во-первых, войдите в свой аккаунт NiceNIC и проверьте статус домена. Используйте Как проверить статус злоупотребления вашим доменом в NiceNIC чтобы понять, находится ли домен на рассмотрении, ограничен или ожидает действия клиента. Если доступно, просмотрите Как просмотреть сводку жалобы по вашему домену чтобы определить заявленную проблему.
Во-вторых, проверьте точный указанный элемент. Не ограничивайтесь только домашней страницей. Проверьте указанный URL, субдомен, путь к файлу, перенаправление, поведение почты или сторонний список.
В-третьих, обезопасьте затронутую среду. Проверьте файлы сайта, пользователей CMS, плагины, темы, записи DNS, имена серверов, MX-записи, журналы почты, журналы доступа к хостингу и сторонние сервисы. Удалите неизвестных пользователей, сбросьте пароли, обновите программное обеспечение, удалите вредоносные файлы и отключите подозрительные скрипты.
В-четвёртых, если проблема с хостингом, свяжитесь с провайдером хостинга. Запросите сканирование на вредоносное ПО, подтверждение очистки, а также письменные заметки о том, что было обнаружено и удалено.
В-пятых, ответьте через официальный канал поддержки или канал злоупотреблений NiceNIC с фактами и доказательствами. Не присылайте только общее отрицание.
Для реселлеров свяжитесь с конечным клиентом незамедлительно. Запросите технические доказательства, а не просто устное заявление. Затем ответьте NiceNIC с четким резюме и приложениями.
Какие доказательства или материалы по исправлению полезны
Полезные доказательства могут включать:
- скриншоты, показывающие, что указанный URL удален или чист;
- результаты сканирования на вредоносное ПО;
- подтверждение очистки от провайдера хостинга;
- журналы сервера, показывающие, что проблема неактивна;
- записи очистки CMS;
- скриншоты DNS «до» и «после»;
- подтверждение сброса пароля;
- записи об удалении подозрительных пользователей;
- обзор журналов почты;
- доказательства отключения злоупотребляемых учетных данных SMTP;
- запросы или подтверждения удалению из сторонних списков;
- краткая временная шкала исправления;
- заметки реселлера от конечного клиента с техническими доказательствами.
Хороший ответ должен отвечать на четыре вопроса:
- Что было заявлено?
- Проблема подтверждена?
- Что вы сделали, чтобы исправить?
- Какие доказательства показывают, что домен сейчас безопасен или что жалоба была ошибочной?
Если ваш домен отмечен сторонним источником, ознакомьтесь с Почему ваш домен отмечен VirusTotal, Spamhaus, Norton и URLScan.io и что делать и предоставьте соответствующие доказательства очистки или удаления из списков.
Если вы не уверены, относится ли жалоба к злоупотреблению DNS, просмотрите Что такое злоупотребление DNS? Четкое руководство по злоупотреблениям DNS ICANN и не-злоупотреблениям DNS.
Что NiceNIC может сделать в зависимости от ситуации
Ответ NiceNIC зависит от доказательств, степени серьёзности и того, продолжается ли проблема.
Возможные действия могут включать:
- запрос у заявителя более конкретных доказательств;
- запрос у владельца домена или реселлера разъяснений;
- запрос доказательств исправления;
- предоставление времени на очистку, если это уместно;
- мониторинг домена после очистки;
- отсутствие действий на уровне домена, если жалоба не поддаётся действиям или не может быть подтверждена;
- временное ограничение, если подтверждено, что злоупотребление остаётся активным;
- применение clientHold при необходимости для прекращения подтверждённых злоупотреблений DNS;
- координация с реестром, если задействованы действия на уровне реестра;
- ведение записей по обработке злоупотреблений для целей соответствия и аудита.
Если домен кажется скомпрометированным и владелец быстро отвечает с достоверными доказательствами очистки, рассмотрение может сосредоточиться на исправлении и снижении риска. Если домен кажется злонамеренно зарегистрированным и злоупотребление активно, может потребоваться более строгие меры снижения.
Для рекомендаций по статусу ознакомьтесь с Почему домены приостанавливаются и как избежать clientHold и Руководством по работе с жалобами NiceNIC.
Заключение
Если о вашем домене сообщили в связи с злоупотреблением, сначала определите, является ли проблема скомпрометированным законным доменом или обвинением в злонамеренном использовании.
Войдите в свой аккаунт NiceNIC, проверьте статус домена, ознакомьтесь со сводкой жалобы, если доступна, проверьте точный указанный URL или сигнал, обезопасьте свой веб-сайт, DNS, почту и среду хостинга и отправьте доказательства очистки или разъяснения через официальный тикет или канал для жалоб.
Для планирования новых доменов используйте Поиск доменных имен для тщательного выбора. Для перемещения портфеля доменов изучите Процесс передачи доменов перед перемещением доменов с активными проблемами статуса. Для партнеров, управляющих доменами клиентов, Реселлер доменов и Reseller API помогут создать более четкие рабочие процессы для общения с клиентами, сбора доказательств и управления доменами.
NiceNIC ставит цель защищать законных владельцев доменов и реселлеров, ответственно реагируя на подтверждённые злоупотребления DNS и обеспечивая безопасность экосистемы DNS.
СВЯЗАННЫЕ НОВОСТИ:
Предыдущие новости:
Почему мы требуем доказательства перед блокировкой домена
Следующие новости: Как NiceNIC отправляет уведомления об абузах и что проверить владельцам доменов
Следующие новости: Как NiceNIC отправляет уведомления об абузах и что проверить владельцам доменов







