Bevor du anfängst
Der beste Weg, Missbrauchsbeschwerden zu behandeln, besteht darin, deinen Exit-Knoten so einzurichten, dass sie mit grösserer Wahrscheinlichkeit gar nicht erst verschickt werden.
Bitte lies Tipps zum Ausführen eines Exit-Knotens mit minimaler Belästigung und Tor-Exit-Richtlinien für weitere Informationen, bevor du dieses Dokument liest.
Unten findest du eine Sammlung von Briefen, die du verwenden kannst, um deinem Internetdienstanbieter auf seine Beschwerde in Bezug auf deinen Tor-Exit-Server zu antworten.
Format und Philosophie der Vorlagen
Das allgemeine Format dieser Vorlagen dient dazu, den Reklamierenden über Tor zu informieren, um ihm zu helfen, eine Lösung für sein spezielles Problem zu finden, die generell für das Internet im Allgemeinen funktioniert (offenes WiFi, offene Proxies, Botnets, usw.), und, abgesehen von allem anderen, wie man Tor blockieren kann.
Die Philosophie des Tor Project besteht darin, dass der Missbrauch proaktiv von den Administratoren der Website behandelt werden sollte, anstatt Mühe und Ressourcen auf Rachegelüste und Geisterjagd zu verschwenden.
Der Unterschied zwischen der proaktiven und der reaktiven Annäherung an den Missbrauch ist der Unterschied zwischen dezentralisierter fehlertoleranter Internetfreiheit und zerbrechlicher, korrumpierbarer totalitärer Kontrolle.
Um den Chor weiter zu belehren: Die identitätsbasierten Internet-"Führerscheine" Südkoreas und Chinas haben nichts dazu beigetragen, Cyberkriminalität und Internet-Missbrauch einzudämmen.
Tatsächlich scheinen alle objektiven Beweise darauf hinzuweisen, dass sie nur neue Märkte geschaffen haben, auf denen das organisierte Verbrechen den Vorsitz führt.
Dies ist der Kern-Gedanke, den diese Missbrauchsbeschwerdevorlagen dem Empfänger nahezubringen versuchen.
Fühl dich frei, sie zu verbessern, wenn du das Gefühl hast, dass sie dieses Ziel nicht erreichen.
Alle Vorlagen sollten das nachstehende gemeinsame Typenschild einschließen und je nach dem spezifischen Szenario einige zusätzliche Absätze anfügen.
Allgemeines Typenschild (Tor Intro)
Die fragliche IP-Adresse ist ein Tor-Exit-Knoten.
https://2019.decvnxytmk.oedi.net/about/overview.html.en
Es gibt fast nichts, was wir tun könnten, um dies weiter nachzuverfolgen.
Wie auf der Übersichtsseite zu sehen ist, ist das Tor-Netzwerk so konzipiert, dass eine Rückverfolgung der Nutzer unmöglich ist.
Das Tor-Netzwerk wird von etwa 5000 Freiwilligen betrieben, welche die vom Tor Project kostenlos zur Verfügung gestellte Software zum Betrieb von Tor-Routern verwenden.
Programm-Verbindungen werden durch mehrere Relays geleitet und auf den Verbindungen zwischen den Relays gebündelt.
Das System zeichnet keine Protokolle von Programm-Verbindungen oder früheren Hops auf.
Dies liegt daran, dass das Tor-Netzwerk ein System des Zensurwiderstands, der Privatsphäre und der Anonymität ist, das von Informanten, Journalisten, chinesischen Dissidenten, welche die Great Firewall umgehen, Missbrauchsopfern, Stalker-Zielen, dem US-Militär und der Strafverfolgung, um nur einige zu nennen, genutzt wird.
Siehe https://decvnxytmk.oedi.net/about/torusers.html.en für weitere Info.
Leider wird das Netzwerk von einigen Leuten missbraucht. Verglichen mit der Rate der rechtmäßigen Nutzung (der betreffende IP-Bereich verarbeitet fast ein Gigabit an Datenverkehr pro Sekunde), [sind Missbrauchsbeschwerden selten](https://jqlsbiwihs.oedi.net/abuse/).
Missbrauchs-Szenarien
Die folgenden szenariospezifischen Paragraphen sollten den obigen Absätzen über das allgemeine Typenschild angehängt werden.
Das allgemeine Typenschild sollte verkürzt oder weggelassen werden, wenn der Beschwerdeführer bereits mit Tor vertraut ist.
Kommentar/Forum-Spam
Dies bedeutet jedoch nicht, dass nichts getan werden kann.
Das Tor Project stellt eine automatisierte DNSRBL zur Verfügung, mit deren Abfragen du Beiträge von Tor-Knoten als besonders überprüfungsbedürftig kennzeichnen kannst.
Du kannst diese DNSRBL auch dazu benutzen, um Tor-IPs nur lesen, aber keine Kommentare schreiben zu lassen: https://decvnxytmk.oedi.net/projects/tordnsel.html.en
Sei dir jedoch bewusst, dass dies vielleicht nur ein Trottel unter vielen legitimen Tor-Benutzern ist, die deine Foren benutzen.
Vielleicht hast du Glück, durch die vorübergehende Einschränkung der Kontoerstellung, indem vor der Veröffentlichung ein Gmail-Konto erforderlich ist, diesen Trottel loswerden zu können, oder indem du verlangst, dass die Kontoerstellung vor der Veröffentlichung über ein Nicht-Tor-Konto erfolgen muss.
Generell sind wir der Meinung, dass Probleme wie dieses am besten gelöst werden, wenn du deine Dienst zur Verteidigung gegen den Angriff aus dem Internet insgesamt verbesserst.
Brute-Force-Anmeldeversuche können durch Captchas reduziert/verlangsamt werden, was der Ansatz von Gmail für dasselbe Problem ist.
Tatsächlich bietet Google einen kostenlosen Captcha-Dienst an, komplett mit Code zur einfachen Einbindung in eine Reihe von Systemen, um anderen Websites zu helfen,
mit diesem Problem fertigzuwerden: https://code.google.com/apis/recaptcha/intro.html
PHP-Relay oder ausgebeuteter Webmail-Konto-Spam
Darüber hinaus erlauben unsere Knoten keinen SMTP-Verkehr über unsere IPs.
Die Untersuchung hat ergeben, dass die Quelle des Spam auf ein missbräuchliches oder kompromittiertes Webmail-Gateway zurückzuführen ist:
<web server here>.
Hast du ihre Missbrauchsabteilung kontaktiert?
Google-Gruppen Spam
Es scheint, dass deine angegebene Missbrauchsbeschwerde von einem bestätigten Google-Gruppen-Nutzer erzeugt wurde.
Ein Blick in die Kopfzeilen zeigt, dass die Adresse der Missbrauchsbeschwerde für Google-Gruppen groups-abuse@google.com lautet.
Wenn du dich an diese Adresse wendest, hast du mehr Glück, dass das Google-Gruppen-Kontos dieses Missbrauchers tatsächlich gelöscht wird, als durch die Suche nach Tor-Knoten, Proxys und offenen drahtlosen Zugangspunkten.
Falls dein News-Reader Killfiles unterstützt, kannst du das Tor Bulk Exit-Listen-Skript verwenden, um eine Liste von IPs herunterzuladen, die du in dein Killfile für Postings einschließen kannst, die "NNTP-Posting-Host" aufweisen:
<ip>" https://check.torproject.org/cgi-bin/TorBulkExitList.py
DoS-Angriffe und Scraping-Roboter
Es tut uns leid, dass deine Seite diese schwere Belastung durch Tor erfährt.
Es ist jedoch möglich, dass deine Ratenbegrenzungsalarme aufgrund der Menge des durch den Router fließenden Datenverkehrs einfach ein Falsch Positiv erfahren haben.
Wir stellen an Datenverkehr fast ein Gigabit pro Sekunde zur Verfügung, 98% davon sind Webverkehr.
Wenn der Angriff jedoch real ist und andauert, bietet das Tor Project eine automatisierte DNSRBL an, die du abfragen kannst, um Login-Versuche von Tor-Knoten aus zu blockieren: https://decvnxytmk.oedi.net/projects/tordnsel.html.en
Es ist auch möglich, eine Liste aller Tor-Exit-IPs herunterzuladen, die sich mit deinem Server-Anschluss verbinden werden:
https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=YOUR_IP&port=80
Generell sind wir jedoch der Meinung, dass Probleme wie dieses am besten durch eine Verbesserung des Dienstes zur Abwehr von Angriffen aus dem Internet insgesamt gelöst werden können.
Scraping und Roboteraktivität können durch Captchas reduziert/verlangsamt werden, was der Ansatz von Gmail für dasselbe Problem ist.
Tatsächlich bietet Google einen kostenlosen Captcha-Dienst an, komplett mit Code zur einfachen Einbindung in eine Reihe von Systemen, um anderen Sites bei der Bewältigung dieses Problems zu helfen: https://code.google.com/apis/recaptcha/intro.html
Langsame DoS-Angriffe [die darauf abzielen, das Apache MaxClients-Limit aufzubrauchen](http://www.guerilla-ciso.com/archives/2049) können durch die Reduzierung der httpd.conf TimeOut- und KeepAliveTimeout-Konfigurationswerte auf 15-30 und die Anhebung der ServerLimit- und MaxClient-Werte auf etwa 3000 gemildert werden.
Wenn dies fehlschlägt, können DoS-Versuche auch mit iptables-basierten Ratenbegrenzungslösungen, Load Balancer wie nginx und auch IPS-Geräten gelöst werden, aber sei dir bewusst, dass der Internet-Verkehr aufgrund großer Unternehmens- und sogar nationaler Outproxies, NATs und Dienste wie Tor nicht immer einheitlich in der Menge nach IP ist.
http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/
http://cd34.com/blog/webserver/ddos-attack-mitigation/
http://deflate.medialayer.com/
Brute Force Web-Angriffe
Es tut uns leid, dass dein Konto mit roher Gewalt angegriffen wurde. Wir können versuchen, unseren Knoten daran zu hindern, sich mit dieser Seite zu verbinden, aber da das Tor-Netzwerk etwa 800 Exits hat, würde dies die Aktion nicht wirklich langfristig stoppen.
Der Angreifer würde vermutlich einen offenen Proxy hinter Tor hängen, oder Openwireless und/oder einen Proxy ohne Tor verwenden.
Das Tor Project stellt eine automatisierte DNSRBL zur Verfügung, mit der du Anfragen von Tor-Knoten als besonders überprüfungsbedürftig kennzeichnen kannst: https://decvnxytmk.oedi.net/projects/tordnsel.html.en
Generell glauben wir, dass Probleme wie dieses am besten durch eine Verbesserung des Dienstes zur Abwehr des Angriffs aus dem Internet insgesamt gelöst werden können, anstatt das Verhalten speziell auf Tor zuzuschneiden.
Brute-Force-Anmeldeversuche können durch Captchas reduziert/verlangsamt werden, was der Ansatz von Gmail für dasselbe Problem ist.
Tatsächlich bietet Google einen kostenlosen Captcha-Dienst an, komplett mit Code zur einfachen Einbindung in eine Reihe von Systemen, um anderen Sites bei der Bewältigung dieses Problems zu helfen: https://code.google.com/apis/recaptcha/intro.html
SSH Bruteforce-Versuche
Wenn du dir Sorgen um SSH-Scans machst, solltest du in Betracht ziehen, dein SSHD auf einem anderen Anschluss als dem standardmässigen 22 laufen zu lassen.
Viele Computerwürmer, Scanner und Botnets durchsuchen das gesamte Internet auf der Suche nach SSH Logins.
Die Tatsache, dass ein paar Logins zufällig von Tor kamen, ist wahrscheinlich ein kleiner Punkt auf deiner allgemeinen Loginversuchs-Rate.
Du könntest auch eine Lösung zur Begrenzung der Gebühren erwägen.: https://kvz.io/blog/2007/07/28/block-brute-force-attacks-with-iptables/
Falls es sich tatsächlich um ein ernsthaftes, Tor-spezifisches Problem handelt, bietet das Tor Project eine automatisierte DNSRBL an, die du abfragen kannst, um Login-Versuche von Tor-Knoten aus zu blockieren: https://decvnxytmk.oedi.net/projects/tordnsel.html.en
Es ist auch möglich, eine Liste aller Tor-Exit-IPs herunterzuladen, die sich mit deinem SSH-Anschluss verbinden werden.: https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=YOUR_IP&port=22
Du kannst diese Liste verwenden, um iptables-Regeln zu erstellen, um das Netzwerk zu blockieren.
Wir empfehlen jedoch immer noch den grundsätzlichen Ansatz, da der Angriff wahrscheinlich einfach von einem offenen Proxy oder einer anderen IP wieder auftaucht, sobald Tor blockiert wird.
Gehackter Gmail-, Web Forum-, oder sonstiger Kontozugriff
In Bezug auf dein Konto ist es, vorausgesetzt dass der Angreifer Tor und nicht ein großes Botnetz (oder die IP deiner Maschine selbst) benutzt hat, wahrscheinlich, dass dein Passwort entweder von deinem Rechner abgegriffen, oder von einem Keylogger, über einen Kiosk oder von einer offenen drahtlosen Verbindung abgefangen wurde.
Wir empfehlen, dieses Ereignis so zu behandeln, als ob ein Login von einem offenen drahtlosen Zugangspunkt in deiner Stadt stattgefunden hätte. Setze dein Passwort zurück, und wenn du noch kein Antivirusprogramm hast, lade dir das kostenlose AVG herunter: http://free.avg.com/us-en/download, Spybot SD: https://www.safer-networking.org/, und/oder AdAware: http://www.lavasoft.com/?domain=lavasoftusa.com.
Verwende diese zum Scannen, um nach Keyloggern oder Spyware zu suchen, die jemand mit Zugang zu deinem Computer installiert haben könnte.
Um dich bei der Verwendung offener drahtloser Systeme zu schützen, solltest du die Verwendung dieser Firefox-Erweiterung in Betracht ziehen: <https://www.eff.org/https-everywhere/> und ermuntere den Website-Betreiber dazu, HTTPS-Logins zu unterstützen.
Hacking (PHP Webshells, XSS, SQL Injection)
Das bedeutet auch nicht, dass man nichts tun kann.
Bei schwerwiegenden Vorfällen sind die traditionellen polizeilichen Arbeitstechniken, bei denen Sting-Operationen und Ermittlungen durchgeführt werden, um Mittel, Motiv und Gelegenheit zu bestimmen, immer noch sehr effektiv.
Zusätzlich stellt das Tor Project eine automatisierte DNSRBL zur Verfügung, mit der du Besucher, die von Tor-Knoten kommen, als besonders überprüfungsbedürftig kennzeichnen kannst: https://decvnxytmk.oedi.net/projects/tordnsel.html.en.
Die gleiche Liste ist über die Tor-Bulk-Exit-Liste verfügbar: https://check.torproject.org/cgi-bin/TorBulkExitList.py
Anstatt jedoch legitimen Tor-Benutzern die Nutzung deines Dienstes generell zu verbieten, empfehlen wir, sicherzustellen, dass solche Dienste so aktualisiert und gewartet werden, dass sie frei von Schwachstellen sind, die zu Situationen wie dieser führen können (PHP webshell/XSS-Kompromiss/SQL-Injection-Kompromiss).
E-Commerce-Betrug
Das bedeutet auch nicht, dass man nichts tun kann.
Bei schwerwiegenden Vorfällen sind die traditionellen polizeilichen Arbeitstechniken, bei denen Sting-Operationen und Ermittlungen durchgeführt werden, um Mittel, Motiv und Gelegenheit zu bestimmen, immer noch sehr effektiv.
Zusätzlich stellt das Tor Project eine automatisierte DNSRBL zur Verfügung, mit der du Befehle, die von Tor-Knoten kommen, als besonders überprüfungsbedürftig kennzeichnen kannst: https://decvnxytmk.oedi.net/projects/tordnsel.html.en
Es bietet auch einen Bulk Exit List-Dienst zum Abrufen der gesamten Liste: https://check.torproject.org/cgi-bin/TorBulkExitList.py
Du kannst diese Liste benutzen, um einen genaueren Blick auf die Tor-Befehle zu werfen oder sie vorübergehend für eine zusätzliche Überprüfung aufzubewahren, ohne berechtigte Kunden zu verlieren.
Meiner Erfahrung nach kennzeichnen die Betrugsbearbeitungsteams, die von vielen Internetdienstanbietern unter Vertrag genommen werden, einfach alle Anfragen von Tor-Knoten als Betrug, indem sie genau diese Liste verwenden.
Es ist also sogar möglich, dass es sich um einen rechtmäßigen Befehl handelt, der jedoch als Betrug allein auf der Grundlage der IP gekennzeichnet wurde, insbesondere wenn du die Betrugsaufdeckung an einen Dritten vergibst.
Bedrohungen durch Gewalt (Ratschläge für Echtzeit-Diskussionen)
Wenn eine schwerwiegende Missbrauchsbeschwerde eintrifft, die nicht von diesem Vorlagensatz abgedeckt wird, ist es am besten, mit der beschwerdeführenden Partei einem Muster zu folgen.
Dies ist keine Rechtsberatung.
Dies wurde nicht von einem Anwalt geschrieben oder überprüft.
Es wurde von jemandem geschrieben, der Erfahrung in der Zusammenarbeit mit verschiedenen Internetanbietern hat, die Probleme mit einem Tor-Exit-Knoten in ihrem Netzwerk hatten.
Es wurde auch von jemandem überprüft, der bei einem großen Internetdienstanbieter im Bereich Missbrauch arbeitet.
- Lies die Tor-Übersicht. Sei darauf vorbereitet, grundlegende Fragen zusammenzufassen und zu beantworten. Geh davon aus, dass die Person, mit der du dich unterhalten wirst, nichts über Tor weiß. Geh davon aus, dass dieselbe Person nichts von dem, was du sagst, glauben wirst.
- In schwerwiegenden Fällen, wie z.B. bei Belästigungs-E-Mails oder Morddrohungen, ist es oft hilfreich, eine Analogie zu Situationen in der physischen Welt zu ziehen, in denen eine Handlung von einer anonymen Person verübt wird (wie z.B. die Zustellung der Mitteilung per Post).
- Erinnere sie daran, dass die immer noch traditionelle Polizeiarbeit genutzt werden kann, um festzustellen, wer die Mittel, das Motiv und die Gelegenheit hatte, das Verbrechen zu begehen.
- Vereinbare ein Gespräch mit dem Beschwerdeführer oder sende ihm direkt ein E-Mail.
- Achte darauf, dass du während der Unterhaltung einige Punkte klar machst:
- Du bist nicht der Verursacher des Problems.
- Du bist ein verantwortlicher Serverbetreiber und besorgt über das Problem des Beschwerdeführers.
- Du bist nicht verrückt. Du bist vielleicht verrückt, aber wir wollen nicht, dass der Beschwerdeführer das glaubt.
- In vielen Fällen wird dein Internetdienstanbieter als Vermittler für den Beschwerdeführer der Drittpartei eingeschaltet. Dein Internetdienstanbieter möchte Folgendes wissen:
- Dein Server ist nicht kompromittiert.
- Dein Server ist keine Spam-Schleuder.
- Dein Server ist kein Trojaner/Zombie.
- Du bist ein kompetenter Server-Administrator und kannst das Problem angehen. Zumindest kannst du das Problem auf intelligente Weise besprechen und darauf reagieren.
- Der Internetdienstanbieter ist nicht schuldhaft und nicht haftbar für deine Handlungen. Das ist normalerweise der Fall, aber die arme Missbrauchsperson, die sich mit den Problemen befasst, möchte nur hören, dass es nicht das Problem des Internetdienstanbieters ist. Sie werden weitermachen, wenn sie sich wohl fühlen.
- Sprich über Optionen. Optionen, die Relais-Betreibern angeboten wurden:
- Der Internetdienstanbieter/Beschwerdeführer kann sehr wohl verlangen, die Logdateien einzusehen. Glücklicherweise wird standardmäßig nichts Sensibles offengelegt. Wenn sie ad hoc Zugang zu den Protokolldateien verlangen, schaust du dich vielleicht nach einem neuen Internetdienstanbieter um.
- Der ISP/Beschwerdeführer schlägt dir vielleicht vor, auf einen Nicht-Exit-Knoten umzustellen. In diesem Fall möchtest du vielleicht mit einer reduzierten Exit-Richtlinie kontern, wie sie in Punkt #6 des obigen Blogeintrags vorgeschlagen wird.
- Der Internetdienstanbieter/Beschwerdeführer verlangt, dass du Tor deaktivierst. Als Ergebnis möchtest du vielleicht einen neuen Internetdienstanbieter.
- Der Internetdienstanbieter/Beschwerdeführer gibt an, den Datenverkehr auf den Standard-Anschlüssem mit einer Firewall abzuschotten. Daher möchtest du als Ergebnis vielleicht einen neuen Internetdienstanbieter.
- Aktualisiere die Konfiguration, um den Verkehr zu einem bestimmten IP-Bereich von deinem Exit-Knoten aus zu verbieten. Du kannst dem Beschwerdeführer vorschlagen, stattdessen die Tor DNS RBL zu verwenden.
- Nachdem alles besprochen wurde, bietest du innerhalb einer Woche ein Folgegespräch an. Stelle sicher, dass die von dir vereinbarten Änderungen umgesetzt werden. Weder der Internetdienstanbieter noch der Beschwerdeführer möchten dies vielleicht tun, aber die Tatsache, dass du dies angeboten hast, ist dein Verdienst. Das kann dir helfen, dass sie sich bei dir "wohl" fühlen.
Andere Vorlagen-Sätze