Я запускаю невеликий сервер (на базі Windows). Перевіряючи журнали, я бачу постійний потік (невдало) спроб злому пароля. Чи варто спробувати повідомити про ці спроби власникам IP-адрес джерела, чи ці спроби нині вважаються цілком нормальними, і все одно ніхто не заважає робити щось щодо них?
Відповіді:
Хоча відповідь може сильно залежати від агентства, яке ви намагаєтеся повідомити, я вважаю, що в цілому ви повинні. Насправді, оскільки моніторинг та реагування на поштову скриньку зловживань для нашої організації є одним із моїх основних завдань, я можу позитивно сказати: «Так, будь ласка!». У мене була така сама розмова з членами інших охоронних організацій, і відповіді, здавалося, значною мірою складалися з:
Я, звичайно, не буду говорити вам , щоб слідувати цим правилам, але я б рекомендував заблукалих на стороні звітності. Зазвичай це не вимагає великих зусиль, і дійсно може допомогти хлопцям з іншого боку. Їх міркування полягали в тому, що провайдери часто не в змозі вжити важливих дій, тому вони будуть подавати інформацію. Я можу сказати, що ми будемо агресивно переслідувати справу. Ми не цінуємо зламані машини в нашій мережі, оскільки вони мають тенденцію до поширення.
Справжній трюк - формалізувати процедуру відповідей та звітування, щоб вона могла бути узгодженою між звітами, а також між персоналом. Ми хочемо, як мінімум, наступного:
Якщо ви також можете включити зразок повідомлень журналу, які вас відключили, це також може бути корисним.
Зазвичай, коли ми бачимо подібну поведінку, ми також встановлюємо блоки брандмауера найбільш підходящої області в найбільш підходящому місці. Визначення відповідних залежатиме від того, що відбувається, в якому бізнесі ви перебуваєте та як виглядає ваша інфраструктура. Це може варіюватися від блокування єдиного атакуючого IP на хості, аж до не маршрутизації цього ASN на кордоні.
Оскільки те, що сказав lynxman, все, що ви насправді можете зробити, - це зв’язатись із їхнім відділом зловживання Інтернет-провайдерами та повідомити їх. Я б заблокував цей IP і в Брандмауері, і на сервері. По-друге, я б також встановив спробу встановлення блокування в груповій політиці (якщо у вас є AD). Поки ваші паролі міцні, я б про це не хвилювався, у мене є сервери, які я запускаю для навчання, і я отримую спроби входу протягом усього дня.
На жаль, це абсолютно нормально, більшість цих спроб генерується через інші сервери, які також були взломані.
Найкраще, що ви можете зробити, це те, що якщо ви бачите, що ці атаки постійно надходять з унікальної IP-адреси, і у вас є підозра, що сервер був зламаний, - це надіслати електронною поштою зловживання / sysadmins на цьому сервері, щоб вони могли виправити ситуацію, втратити це досить просто відстежувати сервер, коли ви перевантажені і підтримуєте їх сотні.
У будь-якому іншому випадку брандмауер, фільтрування та ігнорування - це здебільшого добра практика.
Ваша проблема тут полягає в тому, що велика кількість цих даних, ймовірно, надходить із компрометованих машин у різних країнах, які, ймовірно, є домашніми користувачами ПК та, ймовірно, мають схеми динамічної адреси.
Це означає, що власники машин не знають, що вони пересилають атаки, і їм все одно, вони можуть бути в країнах, де закон насправді не хвилює, а провайдер, ймовірно, не байдуже і в будь-якому випадку виграє Не хочу ловити журнали, щоб побачити, хто використовував цю IP-адресу.
Найкращий план - це комбінація линксмана, Якова та пачок - зазвичай блокуйте їх, але налаштуйте сценарій, щоб дізнатись, чи є звичні винуватці, і спеціально надішліть ваші комісії у відділи зловживань цих провайдерів.
Краще використовувати свій час таким чином.