Как понять кто заблокировал сайт?

Добрый вечер! Возникла интересная ситуация. Около 2 недель назад, перестал открываться сайт https://ecostandard.life/
1. Вначале решили что с сервером что то не так, был восстановлен бэкап, не помогло.
2. Почти сразу обратили внимание, что сайт нормально открывается через VPN, что навело на мысль о блокировке РКН. Но в списках РКН нет домена ecostandard.life, и так же нет ip сервера.
3. Для теста был поднят сайт на тильде, A запись в DNS изменена на новое расположение. Ситуация та же, сайт не доступен, но при этом через VPN все открывается.
4. Написали 2 нашим провайдерам с вопросом, что это может быть. Ответ от обоих сводиться к одному, "не знаем что с вашим сайтом".
5. Что бы исключить и тестовый сайт на тильде, прописал в своем hosts для домена ecostandard.life ip адрес, который точно открыт и доступен. Ситуация не изменилась, сайт не доступен(
На сегодняшний день домена ecostandard.life так же нет в списках РКН, но имя явно блокируют.
Вопрос в следующем, может кто сталкивался с подобным? И к какому дедушке и в какую деревню писать, что бы хоть немного прояснить ситуацию?
Спасибо!

Дополнительно:

Добрый вечер.
По вашему IP вот что открывается, не могу сказать, что он полностью заблокирован:
заглушка

Как понять кто заблокировал сайт?

И скажите, пожалуйста, ваш оригинальный сайт, случайно не на битриксе построен? А то тут была одна волна

  • сталкивались. была блокировка на уровне фильтра трафика. выполнил её национальный координационный центр по компьютерным инцидентам (https://cert.gov.ru/) , который отправил письмо хостеру, но хостер почему-то проигнорил это письмо)
  • Артём, изначально на чем был, не могу сказать, не знаю. По ip он не откроется, только по имени. Можете попробовать через VPN.
  • Сайт открывается, работает, показывает шаблон какой-то. Судя по коду - тильда.
  • VoidVolker, да, там пустой шаблон. Вы открываете через vpn? У меня не через мобильный, не через домашний, не через рабочий(с 4 городов пробовал) интернет не открывается.
  • scottparker, завтра попробую туда написать. Но вот судя по сайту вообще не понятно, что это за организация
  • FateError нет. Есть сервисы проверки доступности сайта - используйте любой для проверки. Проверяйте настройки DNS и т.п.. Ну или и пинайте саппорт хостера.
  • VoidVolker, какого хостера? Сайт был вначале, на одном хостинге, потом перенесен на тильду. Потом я вообще в hosts ip прописывал. Ситуация одна, сайт не открывается
  • FateError, этот сайт был в письме о блокировке
  • FateError, ну раз у тебя сайт на тильде - значит им и пиши
  • стало интересно. что удивительно. идем по чистому http - открывается !
    https - вот тут чудеса. Не пойму на что агриться
    ecos-чтото.ru открывается (созвучно айкосам)
  • Василий Банников, в том то и дело, хостера явно не при чем. Блокировка по доменному имени где-то в другом месте происходит.
  • Олег, у меня http так же не открывает(
  • Посмотри этот коммент https://searchengines.guru/ru/forum/1081048/page5#...
  • Refguser, очень интересно, завтра обязательно попробую узнать у админов, на чем был сайт. Спасибо!

  • Как понять кто заблокировал сайт?

    Открывается без VPN

  • mletov, вам повезло, у меня в 90% случаев, с Российских адресов, он не открывается

    • Объясню, что происходит. РКН на ряде сайтов нашли вирусы и уязвимости, и заблокировали домен на уровне ТСПУ. Если коротко, то нужно сайт почистить от вирусни и написать в РКН просьбу снять блокировку.

    Хостеру, должны были выслать список таких заблокированных сайтов (но высылают не пойми куда, так что, вероятно, письмо ушло в /dev/null.

    Примечательно, что РКН в свои списки блокировки не добавляют сайты и узнать можно или по косвенным признакам, или спросив у РКН (могли бы для приличия добавить, указав причину). Также, о такой акции никто не был уведомлен...

    Чуть позже пришлю куда писать.

    -----

    UPDATE

    Email: incident@cert.gov.ru
    Site: cert.gov.ru

    Email: supervising@noc.gov.ru
    Site: https://portal.noc.gov.ru/

    • Высылают скорее всего на abuse@, а то, что хостер не принимает этот адрес или шлет его в /dev/null - это проблемы хостера
    • Да блин, уже офигели в край. Скоро будут банить сайт из-за некрасивого дизайна...

    • РКН на ряде сайтов нашли вирусы и уязвимости

      Звучит потрясающе. Откуда информация?

    • FearZzZz,
      1. Инфа от самого РКН из общения с одним из клиентов (смогли раздебажить блокировку сайта)
      2. В какой то момент времени, видимо поток жалующихся был достаточно большим, прислали всем хостерам список заблокированных доменов и инструкции

      Блокировку можно обнаружить в tcpdump. До сервера доходит SYN и SYN + ACK, у клиента же ещё встречается RST флаг. Это кто-то описывал на хабре и соответствуют наблюдениям при блокировке сайтов в реестре заблокированных.

      На самом деле, это не РКН искал вирусню, а одна из организаций. Но решение о блокировке они принять явно не могли XD,

    • Ищю в поисковиках, спасибо за ответ. А есть информация, это вольная инициатива какой-то там конторы или были веские основания для подобных действий? Поясню вопрос. «Поиск уязвимостей» — формулировка максимально непрозрачная, и если уж какая-то компания берёт на себя обязанность решать судьбы десятых сайтов, то я хочу знать критерии по котрым они отрабатывают и с какой целью всё это вообще происходит. Пока даже непонятно что гуглить.

      Техническая сторона вопроса тоже вызывает много вопросов. Сканировать сайт на предмет вредоносного кода без доступа к ФС — это так, детская забава.

    • FearZzZz,
      По поводу вопроса - чья-то инициатива или были основания - тут не скажу, тк не работаю в подобных структурах и знакомых там нет.

      В защиту РКН могу сказать, что на части сайтов из "списка" действительно были вирусы и бэкдоры. Выявить подобное, можно обратившись по определенным URL меткам (так действуют веб сканеры уязвимостей), для этого полный доступ в ФС не нужен.

      Часто, на взломанных сайтах, делают клоаки и перенаправление трафика с сайта на вредоносные ресурсы. Выглядит примерно так: Если заходит админ (IP админа можно из бд достать, если к сайту уже доступ получен через бэкдор), то ему отображается корректный сайт. Если обычный пользвователь, то ему делаются вставки рекламы или перенаправляется на другой сайт с "более интересной тематикой".
      В худшем случае, сайт попадает в ботнет ддосеров, но такое быстро замечается хостером и пресекается.
      Замечу, что сейчас в основном, бэкдоры и прочее ищеться по сигнатурам, но тк "дядя хакер" не тупой, он меняет свои скрипты так, что они выглядят как довольно валидная часть сайта.

      Проблема тут в основном глобальная, тк многие владельцы сайтов не имеют базовой граммотности в безопасности (делать сложные пароли, вовремя производить обновления плагинов и ядра сайта, и прочее ... ).
      Да и хостер не сможет решить проблемы с безопасностью для всех, тк текущая солянка веба требует целую компанию разработчиков (как минимум, по размерам несколько десятков рядовых веб студий с профильными спецами), чтобы фиксить те или иные проблемы на уровне кода, что выливается в грубые действия со стороны хостера вида: навесить ограничения на такие сайты и оповестить пользователя.

      По конкретно это ситуации, мне не нравиться пара моментов:
      1. Сначала заблочили, потом оповестили (по наблюдениям - где-то с конца мая начали, а оповестили в августе)
      2. Для приличия, могли бы внести в реестр заблокированных сайтов с формулировкой: "заблокирован по причине: (участие в ботнете|вредоносная активность на сайте|ещё какие-нибудь понятные описания)"

      Те действия вроде как и правильные, но немного перепутан порядок, по мне, правильнее было:
      1. Оповестить хостера о сайтах, чтобы они переслали оповещение пользователям
      2. Если через 7 дней, проверка показывает наличие язвимости, уведомить о блокировке и заблочить (для надежноти занести в реестр с понятной формулировкой)

      С последним (внесением в реестр), видимо может быть правовая проблема, из-за чего и не внесли, но опять же, тут нужно знать всю историю..

    • CityCat4, сейчас подобные ящики разбираются автоматическими скриптами, тк у стандартного хостера на такой ящик летит свышее 100 писем в минуту. То, что не смогло обработаться - уже читает человек, что занимает время, поэтому, ответы на вопросы, высланные на почту, нужно ждать как минимум - около часа, как максимум - 30 дней (некоторые пишут 30 дней как максимальный срок обработки письма).
    • Ищю в поисковиках,

      По поводу вопроса - чья-то инициатива или были основания - тут не скажу, тк не работаю в подобных структурах и знакомых там нет.

      Мало ли, может, было хоть какое-то письмо или ссылка на официальный источник, пока занимались наведением справок. Хочется понять на что опираться в данном вопросе.

      В защиту РКН могу сказать, что на части сайтов из "списка" действительно были вирусы и бэкдоры.

      С чего вдруг РКН зашевелился по поводу малвари вообще? Не совсем понятно какую проблему они решают таким образом. Если ноги растут от утечек за последние полтора года, то это хотя бы что-то объяснило, но пока это лишь теоретическая догадка.

      Выявить подобное, можно обратившись по определенным URL меткам (так действуют веб сканеры уязвимостей), для этого полный доступ в ФС не нужен.

      То есть некая контора регулярно сканит веб на предмет торчащих наружу бэкдоров? Звучит бредово, если честно. Опять же, если это не условный vasya.tld/shell.php, а что-то вроде vasya.tld/images/cache/asdi2i3fm93cmdsgmskdofg.php, то шансов насканить извне такой клад будет ровно ноль.

      Замечу, что сейчас в основном, бэкдоры и прочее ищеться по сигнатурам, но тк "дядя хакер" не тупой, он меняет свои скрипты так, что они выглядят как довольно валидная часть сайта.

      Это всё понятно, но опять возникает вопрос, а почему внезапно гос-во этим всем заинтересовалось, да так, что отправляет пачками домены в блок? Это раз. Два — тут опять озвучен факт, что замаскированная малварь сканами извне не обнаружится.

      Да и хостер не сможет решить проблемы с безопасностью для всех

      Этого делать и не требуется. У хостера есть инструменты для выявления и изоляции скомпрометированных ресурсов, а наиболее ушлые ребята даже умудряются на этом дополнительно зарабатывать. Вопрос в том, почему в эту историю, которой уже более десятка лет, вмешивается какая-то гос. контора со своими полоумными блокировками.

      1. Сначала заблочили, потом оповестили

      Это вполне типичная ситуация, когда кого-то/что-то наделили большими правами с запутанными формулировками, не проверяя далее что с эим происходит, то начинается разговор с позиции силы. Вот это мы и наблюдаем. Вопрос в том, что к этому привело, какие были на то причины.

      2. Для приличия

      Диалог с позиции силы никаких приличий не подразумевает. С этим тоже всё понятно.

      1. Оповестить хостера о сайтах, чтобы они переслали оповещение пользователям

      Вменяемый хостер сам прекрасно видит (или имеет возможность увидеть) что происходит в его зоне контроля. Скомпрометированные сайты изолируются или ограничиваются в функциональности с уведомлениями владельца сайта. Опять же, при чём тут РКН или любая другая третья сторона? Пока не совсем понятно.

      С последним (внесением в реестр), видимо может быть правовая проблема, из-за чего и не внесли, но опять же, тут нужно знать всю историю..

      Спасибо за ответ, постараюсь хотя бы погуглить что-то аналогичное.

    • FearZzZz, Была ветка на форуме битры, где один из пользователь получил ответ от РКН (выкладывал ответ), сейчас не найду. Какой-то оффициальной информации нет, только инфа та, что отвечают пользователям.

    Ответы:

    Сайт блокируется провайдером, либо вышестоящим провайдером. Вот и всё. Куда бежать - хз даже, раз его в списках нету...
    tracert явно показывает на 1 моем провайдере - блокировку на последнем из шлюзов(ДО вышестоящего, видимо ТСПУ стоит)
    на втором провайдере блокировка идет через вышестоящего - РТ ))

    Кстати - через впн, даже с российких хостингов - работает. Например с таймвеба с локаций СПБ и новосиб... и со сберовского тоже)

    + Заказать

     

    Для решения данной проблемы вы можете воспользоваться услугами фрилансеров. Мы выполним необходимую работу быстро и качественно.

     

      • Как понять кто заблокировал сайт?Есть ответ
      • 07.04.2024
      Ответить

      Для того чтобы понять, кто заблокировал сайт, можно предпринять несколько шагов:

      1. Проверить доступ к сайту с разных устройств и с разных сетей. Если сайт не открывается ни с одного устройства и ни с одной сети, это может быть признаком блокировки.

      2. Проверить через онлайн-сервисы, которые позволяют проверить доступность сайта с разных точек мира. Если сайт открывается из других стран, но не открывается из вашей, это может указывать на блокировку.

      3. Проверить через VPN или прокси-сервер. Если через VPN сайт открывается, а без него нет, это также может указывать на блокировку.

      4. Проверить через специальные сервисы проверки блокировок, которые могут показать, что сайт заблокирован на уровне провайдера или государства.

      Если после всех этих проверок вы уверены, что сайт заблокирован, можно обратиться к администратору сети или провайдеру с вопросом о причинах блокировки. Также можно попробовать обратиться к администрации самого сайта для выяснения ситуации.

      Приведу пример кода на PHP для проверки доступности сайта:

      $website = "https://www.example.com";
$ch = curl_init($website);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$response = curl_exec($ch);
$httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
 
if($httpCode == 200) {
    echo "Сайт доступен";
} else {
    echo "Сайт заблокирован или недоступен";
}
curl_close($ch);

      Надеюсь, эти советы помогут вам разобраться с блокировкой сайта и найти ее причины. Если у вас остались вопросы, не стесняйтесь задавать их.

    Оставить комментарий