Прежде чем начать

Лучший способ справляться с жалобами на злоупотребления — настроить выходной узел так, чтобы вероятность их появления была минимальной. Перед прочтением этого документа ознакомьтесь с [Советы по запуску выходного узла с минимальными проблемами] (https://blog.torproject.org/tips-running-exit-node) и рекомендации по выходным узлам Tor

Ниже приведена коллекция писем, которые могут быть использованы для ответа на жалобу интернет-провайдера в отношении вашего сервера выходного узла Tor.

Формат и философия шаблонов

Общий формат этих шаблонов предполагает информировать заявителя о наличии Tor, помочь найти решение конкретной проблемы, которая работает в целом для Интернета (открытый Wi-Fi, открытые прокси, ботнеты и т. д.), исключая при этом вариант блокировки Tor. Философия Tor Project заключается в том, что администраторы сайта должны активно бороться со злоупотреблениями, а не тратить усилия и ресурсы на поиск мести и погоню за призраками.

Разница между проактивным подходом и реактивным подходом к злоупотреблениям заключается в разнице между децентрализованной отказоустойчивой свободой Интернета и хрупким, коррумпированным тоталитарным контролем. И в продолжение – основанные на идентификации "водительские права" для интернета в Южной Корее и Китае, ничего не сделали для пресечения киберпреступности и злоупотреблений в Интернете. На самом деле, все объективные доказательства, похоже, указывают на то, что это только создало новые рынки для организованной преступности. Это основная идея, которую эти шаблоны ответов на жалобы о злоупотреблениях пытаются привить получателю. Не стесняйтесь улучшать их, если вы чувствуете, что они не соответствуют этой цели.

Все шаблоны должны включать общий шаблон, приведенный ниже, и добавлять несколько дополнительных абзацев в зависимости от конкретного сценария.

Общий шаблон (Введение в Tor)

IP-адрес, о котором идет речь, является выходным узлом Tor.
https://www.torproject.org/overview.html

Мы мало что можем сделать, чтобы проследить этот вопрос дальше.
Как видно из обзорной страницы, сеть Tor предназначена для того, чтобы сделать отслеживание пользователей невозможным.
Сеть Tor управляется около 5000 добровольцев, которые используют бесплатное программное обеспечение, предоставляемое Tor Project для запуска маршрутизаторов Tor.
Клиентские соединения маршрутизируются через несколько узлов и мультиплексируются вместе на соединениях между узлами.
Система не ведёт логи клиентских подключений или предыдущих переходов.

Это связано с тем, что сеть Tor – это система конфиденциальности, анонимности и защиты от цензуры,  используемая осведомителями, журналистами, китайскими диссидентами, обходящими Great Firewall, жертвами насилия, объектами преследования, военными США и правоохранительными органами, и это лишь некоторые из них.
Перейдите по ссылке https://www.torproject.org/about/torusers.html.en для получения дополнительной информации.

К сожалению, некоторые люди злоупотребляют возможностями сети. Однако, по сравнению со скоростью законного использования (рассматриваемый диапазон IP-адресов обрабатывает почти гигабит трафика в секунду), жалобы на злоупотребления редки: https://support.torproject.org/abuse/.

Сценарии злоупотреблений

К приведенным выше пунктам Общего шаблона следует добавить следующие пункты, касающиеся конкретного сценария. Общий шаблон должен быть сокращен или опущен, если заявитель на злоупотребление уже знаком с Tor.

Спам комментарии/форум

Однако это не означает, что ничего нельзя сделать.

Tor Project предоставляет автоматический DNSRBL для запроса к меткам сообщений, поступающих от узлов Tor, как требующих специальной проверки.
Вы также можете использовать этот DNSRBL, чтобы разрешить IP-адресам Tor только читать, но не оставлять комментарии. https://www.torproject.org/projects/tordnsel.html.en

Тем не менее, имейте в виду, что это может быть всего лишь один нехороший человек среди многих добропорядочных пользователей Tor, которые используют ваши форумы.
Возможно, вам повезет избавиться от этого нехорошего человека, временно ограничив создание аккаунтов требованием запроса учетной записи Gmail перед публикацией, или требованием создания аккаунта было вне Tor перед публикацией.

В целом, мы считаем, что подобные проблемы лучше всего решаются путем улучшения вашего сервиса для защиты от атаки из Интернета в целом.
Попытки входа в систему методом перебора могут быть уменьшены/замедлены введением Captcha, что является подходом, принятым Gmail для решения подобной проблемы.
Фактически, Google предоставляет бесплатный сервис Captcha в комплекте с кодом для легкого включения в ряд систем для помощи другим сайтам 
с этой проблемой: https://code.google.com/apis/recaptcha/intro.html

Узел PHP или спам с учетной записи веб-почты

Кроме того, наши узлы не позволяют отправлять SMTP-трафик с помощью наших IP-адресов.
После расследования выясняется, что источником спама является неправомерный или скомпрометированный шлюз веб-почты, работающий по адресу:
<web server here>.
Вы связывались с их отделом безопасности?

Спам в Google Groups

Похоже, что ваша конкретная жалоба на злоупотребление была сгенерирована аутентифицированным пользователем Google Groups.
Проверка заголовков показывает, что адрес жалобы на злоупотреблении для Google Groups – groups-abuse@google.com.
Обращение по этому адресу принесет больше пользы в фактическом аннулировании учетной записи Google Groups этого нарушителя, чем преследование узлов Tor, прокси-серверов и открытых беспроводных точек доступа.

Кроме того, если ваше средство чтения новостей поддерживает killfiles, вы можете загрузить список IP-адресов с помощью сценария списка Tor Bulk Exit, чтобы включить их в файл killfile для сообщений, которые соответствуют "NNTP-Posting-Host:
<ip>" https://check.torproject.org/cgi-bin/TorBulkExitList.py

DoS-атаки и Scraping Robots

Мы сожалеем, что ваш сайт испытывает тяжелую нагрузку от Tor.

Тем не менее, возможно, что это было ложное срабатывание сигнала тревоги ограничения скорости вследствие объёма трафика, который проходит через маршрутизатор.
Мы обслуживаем почти гигабит трафика в секунду, 98% которого составляет веб-трафик.

Однако, если атака реальна и продолжается, Tor Project предоставляет вам автоматизированный DNSRBL для запроса на блокировку попыток входа в систему, поступающих с узлов Tor: https://www.torproject.org/projects/tordnsel.html.en

Также можно загрузить список всех IP-адресов выходных узлов Tor, которые будут подключаться к порту вашего сервера:
https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=YOUR_IP&port=80

Однако, мы считаем, что подобные проблемы лучше всего решаются путем улучшения сервиса для защиты от атак из Интернета в целом.

Парсинг и активность роботов могут быть уменьшены/замедлены введением Captcha, что является подходом, принятым Gmail для решения такой проблемы.
Фактически, Google предоставляет бесплатный сервис Captcha, в комплекте с кодом для легкого включения в ряд систем, чтобы помочь другим сайтам справиться с этой проблемой: https://code.google.com/apis/recaptcha/intro.html

Медленные DoS-атаки, [направленные на использование ограничения Apache MaxClients](http://www.guerilla-ciso.com/archives/2049), можно смягчить, уменьшив значения конфигурации httpd.conf TimeOut и KeepAliveTimeout до 15-30 и подняв значения ServerLimit и MaxClients до примерно 3000.

Если это не удается, попытки DoS также могут быть пресечены с помощью решений для ограничения скорости на основе iptables, балансировщиков нагрузки, таких как nginx, а также IP-устройств, но имейте в виду, что интернет-трафик не всегда одинаков по количеству по IP из-за крупных корпоративных и даже национальных outproxies, NATS и сервисов, таких как Tor.
http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/
http://cd34.com/blog/webserver/ddos-attack-mitigation/
http://deflate.medialayer.com/

Веб-атаки методом перебора

Мы сожалеем, что ваша учетная запись была атакована методом перебора. Мы можем попытаться предотвратить подключение нашего узла к этому сайту, но поскольку сеть Tor имеет около 800 выходных узлов, это не остановит действие в долгосрочной перспективе.
Злоумышленник, вероятно, просто свяжет открытый прокси-сервер после Tor или просто использует открытую беспроводную связь и/или прокси-сервер без Tor.

Tor Project предоставляет автоматизированный DNSRBL для запроса, чтобы помечать запросы от узлов Tor как требующие особого отношения: https://www.torproject.org/projects/tordnsel.html.en

Однако, мы считаем, что подобные проблемы лучше всего решать, улучшая сервис для защиты от атак из Интернета в целом, а не специально адаптируя поведение для Tor.
Попытки входа в систему методом перебора могут быть уменьшены/замедлены введением Captcha, что является подходом, принятым Gmail для решения подобной проблемы.
Фактически, Google предоставляет бесплатный сервис Captcha, в комплекте с кодом для легкого включения в ряд систем, чтобы помочь другим сайтам справиться с этой проблемой: https://code.google.com/apis/recaptcha/intro.html

Попытки атаки SSH методом перебора

Если вас беспокоит сканирование по SSH, вы можете рассмотреть возможность запуска SSHD на порту, отличном от порта по умолчанию (22).
Многие черви, сканеры и ботнеты сканируют весь Интернет в поисках SSH-логинов.
Тот факт, что несколько логинов пришли из Tor, вероятно, является небольшим всплеском над общей скоростью попыток входа.
Вы также можете рассмотреть решение для ограничения скорости: https://kvz.io/blog/2007/07/28/block-brute-force-attacks-with-iptables/

Если же это действительно серьезная проблема, характерная для Tor, Tor Project предоставляет вам автоматический DNSRBL для запроса на блокировку попыток входа, поступающих с узлов Tor: https://www.torproject.org/projects/tordnsel.html.en

Также можно загрузить список всех IP-адресов выходных узлов Tor, которые будут подключаться к вашему порту SSH: https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=YOUR_IP&port=22

Этот список можно использовать для создания правил iptables для блокировки сети.
Тем не менее, мы по-прежнему рекомендуем использовать общий подход, так как атака, скорее всего, просто появится с открытого прокси или другого IP-адреса после блокировки Tor.

Взлом Gmail, веб-форума или доступа к учетной записи

Что касается вашей учетной записи, учитывая, что злоумышленник использовал Tor, а не большой ботнет (или сам IP-адрес вашей машины), вполне вероятно, что ваш пароль был либо собран с вашей машины с keylogger, либо он был перехвачен через киоск или открытую беспроводную связь.

Мы рекомендуем относиться к этому событию так, как если бы это был вход в систему с открытой точки беспроводного доступа в вашем городе. Сбросьте свой пароль, и, если у вас еще нет антивируса, скачайте бесплатный AVG: http://free.avg.com/us-en/download, Spybot SD: http://www.safer-networking.org/nl/home/index.html, и/или AdAware: http://www.lavasoft.com/?domain=lavasoftusa.com.
Используйте их для проверки на наличие keylogger или шпионских программ, которые мог установить кто-то, имеющий доступ к вашему компьютеру.

Чтобы защитить себя при использовании открытых беспроводных сетей, рассмотрите возможность использования этого плагина Firefox: <https://www.eff.org/https-everywhere/> и предложите сопровождающему сайта поддерживать входы по протоколу HTTPS.

Взлом (PHP Webshells, XSS, SQL Injection)

Это также не означает, что ничего нельзя сделать.
В случае серьезных инцидентов традиционные методы работы полиции, заключающиеся в оперативном эксперименте и расследовании с целью определения средств, мотивов и возможностей, по-прежнему очень эффективны.

Кроме того, Tor Project предоставляет автоматизированный DNSRBL для запроса на пометку посетителей, поступающих из узлов Tor, как требующих особого отношения: https://www.torproject.org/projects/tordnsel.html.en.
Тот же список доступен через Tor Bulk Exit List: https://check.torproject.org/cgi-bin/TorBulkExitList.py

Однако вместо того, чтобы запрещать добропорядочным пользователям Tor использовать ваш сервис в целом, мы рекомендуем обеспечить, чтобы сервисы обновлялись и поддерживались без уязвимостей, которые могут привести к таким ситуациям (PHP webshell / XSS компрометация / компрометация SQL Injection).

Мошенничество в E-Commerce

Это также не означает, что ничего нельзя сделать.
В случае серьезных инцидентов традиционные методы работы полиции, заключающиеся в оперативном эксперименте и расследовании с целью определения средств, мотивов и возможностей, по-прежнему очень эффективны.

Дополнительно, Tor Project предоставляет автоматический DNSRBL для запроса на пометку заказов, поступающих от узлов Tor, как требующих специальной проверки: https://www.torproject.org/projects/tordnsel.html.en

Он также предоставляет службу Bulk Exit List для получения всего списка: https://check.torproject.org/cgi-bin/TorBulkExitList.py

Вы можете использовать этот список, чтобы более внимательно взглянуть на заказы, полученные из Tor, или временно удерживать их для дополнительной проверки, не теряя клиентов.

Фактически, по нашему опыту, команды по обработке мошенничества, нанятые многими интернет-провайдерами, просто помечают все запросы от узлов Tor как мошенничество, используя именно этот список.
Таким образом, возможны случаи, что правомерный заказ может быть помечен как мошенничество исключительно на основе IP, особенно если у вас заключён контракт на обнаружение мошенничества с третьей стороной.

Угрозы насилия (Советы для обсуждения в режиме реального времени)

Если поступает серьезная жалоба на злоупотребление, не охваченная этим набором шаблонов, лучшим ответом будет следовать образцу жалующейся стороны. Это не юридическая консультация. Это не было написано или рассмотрено адвокатом. Это было написано кем-то с опытом работы с различными интернет-провайдерами, у которых были проблемы с выходным узлом Tor в их сети. Он также был рассмотрен кем-то, кто работает в отделе, работающем с злоупотреблениями, в крупном интернет-провайдере.

  • Прочитайте Обзор Tor. Будьте готовы обобщить и ответить на основные вопросы. Представьте, что человек, с которым вы собираетесь поговорить, ничего не знает о Tor. Представьте, что этот же человек не будет доверять всему, что вы говорите.
    • В серьезных случаях, таких как преследование по электронной почте или угрозы убийством, часто полезно провести аналогию с ситуациями в физическом мире, когда действие совершается неизвестным (например, доставка уведомления по почте).
    • Напомните им, что традиционная полицейская работа все еще может быть использована для определения того, у кого были средства, мотив и возможность совершить преступление.
  • Договоритесь о том, чтобы поговорить с заявителем или напрямую отправить ему электронное письмо.
  • Во время разговора убедитесь, что вы объясняете следующие моменты:
    • Вы не являетесь виновником проблемы.
    • Вы являетесь ответственным оператором сервера и обеспокоены проблемой заявителя.
    • Вы не сумасшедший. Вы можете быть сумасшедшим, но мы не хотим, чтобы заявитель догадывался, что это правда.
  • Во многих случаях ваш интернет-провайдер будет задействован в качестве канала для заявителя 3-й стороны. Ваш интернет-провайдер захочет узнать:
    • Ваш сервер не скомпрометирован.
    • Ваш сервер не является ретранслятором спама.
    • Ваш сервер не является трояном/зомби.
    • Вы являетесь компетентным администратором сервера и можете решить проблему. Минимально, вы можете, по крайней мере, обсудить проблему и ответить разумно.
    • Интернет-провайдер не виноват и не несет ответственности за ваши действия. Обычно это так, но бедный сотрудник, занимающийся проблемами, просто хочет услышать, что это не проблема интернет-провайдера. Они будут двигаться дальше после того, как им будет удобно.
  • Обсудите варианты. Варианты, которые были предложены операторам узлов:
    • Интернет-провайдер/заявитель вполне может потребовать просмотра лог-файлов. К счастью, по умолчанию ничего чувствительного не раскрывается. Вам может понадобиться новый Интернет-провайдер, если ему требуется доступ к файлам журналов ad hoc.
    • Интернет-провайдер/заявитель может предложить вам преобразовать его в невыходный узел. В этом случае вы можете попробовать найти компромисс с помощью сокращенной политики исходящего трафика, например, предложенной в пункте #6 этой записи блога.
    • Интернет-провайдер/заявитель требует, чтобы вы отключили Tor. В результате вам может понадобиться новый интернет-провайдер.
    • Интернет-провайдер/заявитель заявляет, что они будут отключать трафик на портах по умолчанию. В результате вам может понадобиться новый интернет-провайдер.
    • Интернет-провайдер/заявитель требует обновить конфигурацию, чтобы запретить трафик на определенный диапазон IP-адресов с вашего выходного узла. Вы можете предложить вместо этого использовать Tor DNS RBL.
  • После того, как все было обсуждено, договоритесь о продолжении разговора в течение недели. Убедитесь, что согласованные изменения реализованы. Ни интернет-провайдер, ни заявитель могут не захотеть продолжить общение, но тот факт, что вы предложили, находится в вашем кредите. Это может помочь им чувствовать себя «комфортно» с вами.

Другие наборы шаблонов