Вопрос админам провайдеров.

Заблокировать все входящие на ровтере и попробовать посканить адрес снаружи. Мудачества всякие бывают же.

и Windows

Там точно бяки нет, которая в фоне почту рассылает?

не успел вчера до конца весь комп проверить. Но в течение 3 часов полной проверки - ничего не нашел.

Есть небольшая вероятность взлома древнего маршрутизатора

Что за железо, какая версия прошивки?

а не используют ли провайдеры _параллельно_ мой внешний IP для других юзеров через NAT

Нет. Ищи проблему у себя.

P.S. Винду проверил, а линукс кто будет проверять? А соседские устройства, подключенные к твоему вайфаю?

P.S.S. Возможно, что твой IP висит в базе с давних времен, когда еще не ты им пользовался.

не успел вчера до конца весь комп проверить. Но в течение 3 часов полной проверки - ничего не нашел.

Так ты не антивирусом проверяй, а wireshark'ом. Антивирусы слепы, надежды на них мало.

Тут недавно обнаружил что мой IP находится в списке почтовых спамеров

что за список? спамхаус? если да, то в каких именно списках?
как давно он там висит? при получении этого IP в пользование он не висел в списках?

сейчас не дома, потому маршрутизатор не помню(какой то TPLink с древним openwrt). Соседей по wifi не подключал(пароль конечно не сверхсложный, но и простым не назовешь[ в стиле «V@rja$L@n» ]).

IP висит в базе с давних времен

Недавно началось (cloudfire стал выдавать запрос на капчу).

В базе твой адрес или диапазон?

ip

в стиле «V@rja$L@n»

Это очень простой пароль. Дампится хэш и дальше hashcat'ом или подобным на хорошей видеокарте перебиратся в довольно короткие сроки. Возможно, его еще не взломали, но на всякий случай подумай о замене.

что за список? спамхаус? если да, то в каких именно списках?

какой конкретный список не могу сказать (не запомнил - буду дома сообщу). Но точно за спам(даже примеры заголовков писем показали).

как давно он там висит? при получении этого IP в пользование он не висел в списках?

понятии не имею. IP мой уже несколько лет.

Если у тебя не проплачено отдельно за статический IP (у всех провайдеров, что я знаю, это платная опция), то при каждом реконнекте роутера (в том числе в результате ребута) тебе будет выдаваться рандомный IP из пула провайдера, а твой старый IP уходить в пул. Таким образом, у тебя гарантированно бушный IP. А юзеры провайдера бывают разные - у кого-то вполне может быть протрояненная винда. Таким образом, большая часть IP любого провайдера обязательно попадает в спам-лист. С другой стороны, провайдеру на это пофиг, ибо 99% юзеров не поднимают серверов (особенно не считая всяких игрушек). Да и те, кто поднимают, то скорее HTTP/FTP/VPN (а им, опять же, плевать на спам-листы), но не почтовики, ибо помимо наличия IP в спам-списках есть куча других проблем - например, невозможность прописать reverse DNS запись (а это тоже очень не нравится многим почтовым сервисам).

Что же касается мобильных операторов, а также некоторых особо жмостких провайдеров - ты вполне можешь сидеть за NAT. Проверить это легко - поднять на своей машине веб-сервер и пробросить 80-ый порт на роутере, а потом попытаться открыть свой IP через другой интернет-канал (например, на смартфоне через мобильный интернет). Если получится, то вероятность применения провайдером NAT ничтожно мала.

Хочу отметить, что обычно IP убирается из спам-списков только по запросу заинтересованного лица. Никаких «на него уже давно не было жалоб - давайте уберём его из спам-списка». Так что если IP был в этих списках на момент получения тобой (а до тебя им мог владеть владелец затрояненной винды), то он там так и останется, каким бы ты не был белым и пушистым. Разве что попытаться направлять запросы на удаление в каждый из спам-списков, где твой IP фигурирует.

веб-сервер и пробросить 80-ый порт на роутере, а потом попытаться открыть свой IP через другой интернет-канал (например, на смартфоне через мобильный интернет). Если получится, то вероятность применения провайдером NAT ничтожно мала.

а вот это мысль неплохая! Да и не на одном порту. Протестим.

Это очень простой пароль. Дампится хэш и дальше hashcat'ом ...

Ну тогда остается только wifi без авторизации, но с доступным только vpn по сертификату «госуслуг» =)

Я сомневаюсь, что CloudFlare будет обращать внимание на списки почтовых спаммеров - они таки долбят по SMTP, а не по HTTP, а CloudFlare интересует только HTTP.

Тут могут быть другие причины:

1) CloudFlare может не нравится твой браузер и его поведение - он может быть слишком похож на бота. Например, ты можешь использовать слишком параноидальные опции приватности вроде запрета сторонних кук.

2) Посещаемый сайт находится под атакой. В этом случае CloudFlare может выдавать каптчу даже вполне валидным юзерам. Просто на всякий случай. Определить такой случай легко - другие сайты каптчу выдавать не должны (проверить, что сайт защищён CloudFlare можно по его IP).

3) С твоего IP слишком частые обращения к одному сайту. Например, у тебя семья из 10 человек, у каждого есть свой девайс и вы все одновременно пытаетесь открыть защищённый CloudFlare сайт.

Я сомневаюсь, что CloudFlare будет обращать внимание на списки почтовых спаммеров

Похоже всё же обращает...

CloudFlare может не нравится твой браузер

Обычный firefox.

Посещаемый сайт находится под атакой.

Разные сайты.

С твоего IP слишком частные обращения к одному сайту.

Теоретически возможно... Но не думаю, что десяток запросов за пару минут это много.

И возникла мысль - а не используют ли провайдеры _параллельно_ мой внешний IP для других юзеров через NAT

А у тебя не возникала мысль, что тебе уже могли дать такой IP?

А у тебя не возникала мысль, что тебе уже могли дать такой IP?

До того как ты спросил - нет. Поскольку внешних сервисов на компе мало (i2p под Linux ).

Кстати, а у кого какая стоимость внешнего IP ? Что бы сравнить.

Похоже всё же обращает...

Давай рассуждать логически. У большинства пользователей винда. Среди них заметный процент тех, кто не очень хорошо разбирается в информационной безопасности. Антивирусы не панацея, плюс не у всех они стоят. Так что можно с уверенностью говорить, что среди пользователей любого провайдера есть немало невольных спаммеров. Также большинство провайдеров дают юзерам динамический IP, если они явно не проплатили статический. А мобильный провайдеры вообще всегда всех юзеров сажают на NAT (кроме корпоративных клиентов на специальных тарифах с «белыми» IP).

Только что проверил - мой проводной IP (динамический, каждый ребут роутера - новый IP) находится только в списках SpamHouse. IP смартфона (динамический, NAT) находится в списках Barracuda, CBL, SBL-PBL1, SBL-XBL. По причинам описанным выше, меня это не особо беспокоит.

Так вот, никогда не имел проблем с CloudFlare при доступе ни со смартфона, ни с компьютера. Изредка может выбросить каптчу на отдельно взятом сайте, но это скорее всего просто сайт под атакой.

В общем, в сторону спам-списков можно вообще не смотреть. CloudFlare интересует сугубо HTTP активность, а ещё адекватность твоего браузера (разрешённые JS и куки от CloudFlare, последние не должны удаляться при каждом закрытии браузера).

Ну как вариант - прямо сейчас с твоего ПК идёт атака на какой-нибудь сайт. Берёшь WireShark/tcpdump и проверяешь (разумеется, делать это надо с заведомо чистой машины, либо хотя бы с разных машин).

Возможно, конечно, у CloudFlare есть какие-то свои списки, но они явно не те, что используются для фильтрации почтового спама и я не уверен, что они публично доступны.

среди пользователей любого провайдера есть немало невольных спаммеров. Также большинство провайдеров дают юзерам динамический IP, если они явно не проплатили статический

С таких юзеров спамить - толку нет. Ни один почтовый сервер (кроме, разве что, сервера под диваном) не примет письмо с IP, у которого нет PTR.

Исповедуюсь. Твой адрес до тебя был черт знает у кого. Если это не нарушало законодательство, то и фиг бы с ним, что там делали. Шарится он млм нет, можно узнать в договоре. Выделенный значит нет.

По проблеме, все вменяемые днсбл либо имеют форму исключения, либо удаляют автоматически, если нет активности. Вам надо пройтись по сайтам тех днсбл и посмотреть их полиси. Невменяемые обычно не используются нормальными почтовыми системами. Но если у вас есть активность,то все равно все повторится.

Если есть нарушения законодательства, то тоже все равно - провайдер обязан вести логи кому принадлежал IP в какое время. Иначе бы для того, чтобы уйти от ответственности было бы достаточно ребутнуть роутер после плохих дел.

белый IP до того как Вам был выделен мог попасть в спам листы.

попросите заменить, на заведомо чистый

Если у тебя не проплачено отдельно за статический IP (у всех провайдеров, что я знаю, это платная опция)

Иногда есть только 2 варианта - серый IP и платный статический белый.

ДС - два прова. 135 и 150

Закрой на маршрутизаторе все исходящие tcp соединения на 25-й порт, кроме нужных тебе почтовиков. Удали себя из всех баз спамеров, из которых сможешь, на остальные забей (хотя, можно попробовать спросить у них, когда последний раз спамили).

Провайдер точно не использует твой IP у себя.

Но точно за спам(даже примеры заголовков писем показали).

Так там тогда точно есть время. Если точно ты, дампь трафик. Если у тебя там openwrt на роутере и памяти достаточно на его флешке, доустанови tcpdump.

ты вполне можешь сидеть за NAT.

В этой ситуации выдаются IP из совершенно точно известных диапазонов. Для того, чтобы это понять, надо просто прочитать RFC 6890, а не городить огород из проверок. Хотя, в теории, могут использовать несоответствующие IP, но тогда эту организацию провайдером стрёмно называть.

Извиняюсь, но до выходных никаких расследований продолжить не могу...