Атаки конкурентов, способные нанести вред вашему сайту

Андрей Роговский

Отключение сайта за 5000 рублей

Итак, вы открываете интернет магазин. С поставщиками и курьерской службой полный порядок. Цены тоже очень «вкусные». Юзабилити и дизайн на высоте.
Вы заплатили за интернет рекламу поисковым системам — купили трафик в Яндекс.Директе и Google AdWords.
Итак, вот он момент — начался рабочий день и вы ждете когда наконец поступит первый заказ.
И тут раздается звонок, или приходит письмо от хостера и вам сообщается, что сайт был отключен.
Причем это лучший вариант. Вполне возможно, что сайт отключен давно, а посетители видят вместо него страницу-заглушку хостинга.

Поздравляю, вы стали жертвой атаки конкурента!

Про хостинг и спам

В правилах вашего хостинга есть пункт о том, что нельзя заниматься спамом — верно? Более того, вы как сознательные люди вообще терпеть не можете спам. И точно не рассылали спам с сайта, а для рассылок пользовались специальными списками рассылок типа subscribe.ru.

Так почему же хостинг отключил сайт? Ведь вы же ничего не нарушали? Ответ прост:

Хостер может отключить ваш сайт в любой момент за спамадвертайзинг. Которого вы не делали, потому что его сделал конкурент!
Итак, конкурент заказал рекламу вашего сайта с помощью рассылки спама. Эта услуга стоит примерно 5000 рублей. Согласитесь — совсем недорогая цена, за отключение сайта. Уверен, что потери от рекламных кликов, идущих на страницу хостера, составили большую сумму.

Но ведь вы не слали спам?

Но хостера это не волнует. Кроме вас у него еще сто клиентов на сайте и он не может допустить отключения сервера и всех сайтов на нем, ведь это его бизнес.
Более того, нормальный хостинг вернет вам деньги и архив сайта. Но как быть с потерей на рекламе? А с имиджем?

Хуже спама может быть только борьба со спамом!

Существует ряд организаций, ведущих списки серверов, рассылающих спам. Например таких как Спамкоп. Сотрудники таких организаций могут написать жалобу в ЦОД, за то что тот содержит у себя сервер, на котором есть сайт, рекламирующий себя спамом и потребовать его отключить. Если хосте будет реакции, то все IP адреса этого ЦОД попадут в черный список.

В свою очеред у ЦОД множество серверов и ему совсем не нужны проблемы из-за одного сервера. По этому он пересылает информацию владельцу сервера с требованием удалить сайт под угрозой отключения сервера целиком.
А реакцию хостера на подобную жалобу и то, к чему она приводит — вы уже прочитали в самом начале.

Кто виноват и что делать?

Виноват конечно конкурент, но к сожалению словить его и доказать вину — довольно сложно. Кроме того, он может быть гражданином соседней страны и ситуация станет совсем комичной, если вы попытаетесь, например, подать жалобу в Басманный суд на жителя Грузии.

А вот в вопросе о том, что делать — я помогу советами:

• Хостеры, имеющие собственные ЦОД более стойкие к таким жалобам
• Никакие западные или европейские хостеры не будут игнорировать такие жалобы
• Крупные хостинги РФ, такие как MCHOST.RU, INFOBOX.RU, MASTERHOST.RU являются достаточно толерантными и игнорируют жалобы (абузостойкость)
• Если вы начали кампанию по рекламе сайта — всегда мониторьте его содержимое и доступность
• Порой проще развернуть сайт на другом хостинге и сменить IP в DNS, чем тратить время на долгие разбирательства с текущим хостингом
• Всегда иметь актуальный бекап сайта у себя на компьютере и копию где-то на флешке/болванке
• Всегда покупать домен у регистратора напрямую и уметь пользоваться DNS регистратора и знать как поменять IP

Ну и конечно, я посоветую прямо сейчас написать в поддержку вашего хостинга, дать ссылку на эту статью и спросить:

«Если на меня придет жалоба в спамадвертайзинге, которого я не совершал, мой сайт будет доступен или нет?»

Не огорчайтесь, если ответ будет «отключим». Предупрежден — значит защищен. Делайте выводы о надежности своего хостинга прямо сейчас и задумывайтесь о том, «как соломки подстелить».

Mail Bounce DDOS

Я продолжаю тему атаки конкурентов на ваши сайты, и сейчас хочу рассказать о более сложной и более серьезной атаке, так называемый Mail Bounce DDOS.

Но сначала я хочу немного рассказать про один из способов, которым спаммеры собирают себе базы ящиков для спама.
Спаммеры бывают разные, и базы у них тоже разные. Некоторые собирают их по сайтам с помощью самописных краулеров. Другие — методом перебора вычисляют существующие почтовые ящики. А третьи, назовем их элитными, хотя это слово для спаммеров не примлемо, собирают базу реальных, живых людей, которые получают и читают спам.

Сначала спаммер выбирает несколько доменов-жертв, как правило, сервисов бесплатной почты локальных интернет-провайдеров, многие из которых имеют недостаточные средства для фильтрации спама. Причем выбирают как правило по регионам, чтоб сразу получить региональную базу потенциальных жертв.
Затем, пользуясь особенностью провайдеров, которые так или иначе «засвечивают» логины своих клиентов, генерирует список email-адресов вида логин@почтовый.сервер.isp.

Как именно ISP могут подсказать спаммеру логины своих клиентов?
Например, многие создают бесплатный хостинг для своих клиентов в виде логин.сервер.isp или сервер.isp/~логин. У многих логины на форуме ISP совпадают с их реальными логинами почтовых ящиков. И наконец, если ISP выдает реальный IP, то он очень часто имеет реверсивную запись DNS PTR в виде логин.сервер.isp

Итак, сначала спаммер находит недорогие хостинги, на которых открыты исходящие соединения от скриптов на 25-й порт удаленных серверов и c помощью скрипта dm.cgi начинает рассылку писем, причем каждое письмо снабжается уникальной ссылкой, по которой надо кликнуть, якобы для отписки от рассылки.
Нечего и говорить, что кликая по таким ссылкам, человек подтверждает то, что у него этот ящик рабочий и более того — на нем не фильтруется спам. Следовательно, такой человек будет получать и читать спам-письма, особенно если их содержимое как-то причастно к его региону.

Однако, как обычно, любая элитная технология, попавшая в руки школьников малограмотных спаммеров, становится большой проблемой.

Вместо того, чтоб тратить время и трафик на сбор базы логинов, малограмотный спаммер просто берет домены провайдеров и генерит список вероятных ящиков по словарю. Один словарь спаммера может содержать в среднем 50 000 часто встречающихся логинов.

Рассылка по подобным базам приводит к тому, что в среднем на каждые 100 писем, только одно доходит до адресата, а остальные будут несуществующими. И это приводит к тому, что все эти письма начинают возвращаться отправителю. И тут происходит самое интересное!

Адрес отправителя можно указать какой угодно, в том числе и адрес и поток оповещений о недоставленных письмах хлынет лавиной в тысячи мусорных писем, забивающих ящик и перегружающий почтовый сервер. Не каждый хостер сможет выдержать побную атаку и скорее всего заблокирует на время прием почты, а в худшем случае — вообще временно отключит сайт, так как поток Mail Bounce может достигать 100Mbps и полностью забивать канал к серверу.

Самое печальное, что несмотря на кажущуюся сложность, такой вариант будет в результате очень дешев и эффективен для конкурента:

• Скрипт рассылки спама dm.cgi тысячами копий лежит на файлообменниках и скачать его не составит никакого труда
• Множество дешевых хостингов, использующих популярные системы управления хостингом, таких как: cPanel/WHM,Plesk,DirectAdmin,ISPManager — по умолчанию позволяют подобным скриптам расслыку спама напрямую через сокеты, и наспамить по 50 000 адресов c такого хостинга можно меньше чем за 1$
• Многие почтовые сервера ISP игнорируют SPF и DomainKeys

Что же делать, чтоб избежать или хотя-бы смягчить последствия Mail Bounce DDOS?

• Используйте выделенный IP и принимайте на него почту — в случае проблем будет легко закрыть на время прием почты
• Обязательно используйте SPF и DomainsKeys — это снизит уровень bounce трафика
• Спросите техподдержку своего хостинга о возможных последствиях подобной атаки — какие последствия для сайта это может повлечь

Ну и наконец, я могу предложить абсолютно бесплатно перенести почту к Google Mail, хотя это принесет ряд ограничений — например, число ящиков не более 50, есть лимит на отправку сообщений. Зато Google Mail отлично фильтрует подобного рода атаки. А если вдруг ограничения не устроят, то за 50$ в год вы получите надежную почтовую систему.

С вами был я, Андрей Роговский. Спасибо за внимание!