Должен ли я сообщать о попытках взлома?

Я использую небольшой (на базе Windows) сервер. Когда я проверяю логи, я вижу постоянный поток (безуспешных) попыток взлома паролей. Должен ли я попытаться сообщить об этих попытках владельцам исходных IP-адресов, или эти попытки в настоящее время считаются совершенно нормальными, и в любом случае никто не будет беспокоиться о них?

6 ответов

Решение

Хотя ответ может сильно зависеть от агентства, которое вы пытаетесь сообщить, я считаю, что в целом вам следует. На самом деле, поскольку мониторинг и реагирование на почтовый ящик для злоупотреблений в нашей организации является одной из моих основных рабочих обязанностей, я могу с уверенностью сказать: "Да, пожалуйста!". У меня был тот же самый разговор с членами других организаций безопасности, и ответы, казалось, в основном состояли из:

  • Если информация whois об IP показывает бизнес или университет, то сообщите
  • Если информация whois на IP показывает провайдера, не беспокойтесь

Я, конечно, не скажу вам следовать этим правилам, но я бы порекомендовал ошибаться в части отчетности. Обычно это не требует больших усилий и может реально помочь ребятам на другом конце. Их аргументация заключалась в том, что интернет-провайдеры не всегда могут принимать значимые меры, поэтому они будут хранить информацию. Могу сказать, что мы будем настойчиво заниматься этим вопросом. Мы не ценим взломанные машины в нашей сети, поскольку они имеют тенденцию к распространению.

Реальный трюк состоит в том, чтобы формализовать ваш ответ и процедуру отчетности, чтобы она могла быть согласованной между отчетами, а также между сотрудниками. Мы хотим, как минимум, следующее:

  1. IP-адрес атакующей системы
  2. Отметка времени (включая часовой пояс) события
  3. IP-адреса систем на вашем конце

Если вы также можете включить образец сообщений журнала, которые предупредили вас, это также может быть полезно.

Обычно, когда мы видим такое поведение, мы также устанавливаем блоки брандмауэра с наиболее подходящей областью действия в наиболее подходящем месте. Соответствующие определения будут в значительной степени зависеть от того, что происходит, в каком бизнесе вы находитесь, и как выглядит ваша инфраструктура. Это может варьироваться от блокирования одного атакующего IP на хосте, вплоть до того, чтобы не маршрутизировать этот ASN на границе.

Это атака с использованием паролей, известная как атака методом перебора. Лучшая защита - убедиться, что пароли пользователей надежны. Другое решение - заблокировать IP-адрес с несколькими неудачными входами. Атаки грубой силой остановить трудно.

Как сказал Lynxman, все, что вы на самом деле можете сделать, - это связаться с их отделом по борьбе со злоупотреблениями интернет-провайдеров и проинформировать их. Я бы заблокировал этот IP как в брандмауэре, так и на сервере. Во-вторых, я бы также настроил блокировку на основе попыток в групповой политике (если у вас AD). Пока ваши пароли надежны, я бы об этом не беспокоился, у меня есть серверы, которые я запускаю для изучения, и я получаю попытки входа в систему в течение всего дня.

Каждый день мы получаем сотни попыток взлома наших веб-серверов. Возможно, это потому, что мы уже более 20 лет присутствуем в Интернете примерно на 40 сайтах. Взлом настолько плох, что мы написали фильтр 404, который ищет шаблоны уязвимостей, которые генерируют ошибки 404. При обнаружении шаблона уязвимости мы блокируем IP-адрес на 3 дня. Мы видим, что хакеры используют списки уязвимостей и последовательно пробуют их по одной. Мы создаем ежедневный отчет о попытках взлома, обычно около 400 в день, и просматриваем сетевой блок интернет-провайдера, инициировавшего попытку взлома. Если попытка очевидна и вопиющая, мы добавляем сетевой блок в таблицу БД с адресом отчета о злоупотреблениях.

Есть как ответственные, так и безответственные интернет-провайдеры. По нашему опыту, следующие лица действительно хотят получать ваши отчеты о злоупотреблениях по электронной почте:

      - Microsoft (Azure)
- Sendgrid
- Comcast
- Amazon (AWS)

Следующие лица не хотят получать ваши сообщения о злоупотреблениях, но отвечают вам:

      - Charter (insists that it is not from their IP)

Следующие лица игнорируют ваши сообщения о злоупотреблениях:

      - Digitalocean (netblock had to be firewalled permanently)
- ovh.net, ovh.ca, ovh.us (netblock had to be firewalled permanently)

В следующих странах размещаются интернет-провайдеры, и они игнорируют ваши сообщения о злоупотреблениях:

      - Russia
- China
- Indonesia
- Netherlands
- India
- Pakistan
- Bulgaria
- Vietnam

Есть, конечно, и множество других, но эти самые вопиющие.

Ваша проблема здесь заключается в том, что огромное количество таких устройств, вероятно, происходит от скомпрометированных компьютеров в разных странах, которые, вероятно, являются компьютерами домашних пользователей и, вероятно, используют схемы динамической адресации.

Это означает, что владельцы компьютеров не знают, что они пересылают атаки, и им все равно, они могут быть в тех странах, где закон действительно не волнует, и ISP, вероятно, не волнует и в любом случае выиграл не хочу просматривать журналы, чтобы увидеть, кто использовал этот IP-адрес.

Лучший план - это сочетание lynxman, Jacob и packs - обычно их блокируют, но настраивают сценарий, чтобы увидеть, есть ли общие преступники, и, в частности, отправляют ваши сообщения в отделы злоупотреблений этих интернет-провайдеров.

Так лучше использовать свое время.

К сожалению, это совершенно нормально, большинство этих попыток генерируются и другими взломанными серверами.

Лучшее, что вы можете сделать, это то, что, если вы видите, что эти атаки постоянно происходят с уникального IP-адреса, и у вас есть подозрение, что сервер был взломан, это отправить по электронной почте сообщения о злоупотреблениях / sysadmins на этом сервере, чтобы они могли исправить ситуацию, проиграть довольно легко. отслеживать сервер, когда вы перегружены, и поддерживать сотни из них.

В любом другом случае брандмауэр, фильтрация или игнорирование - это в основном хорошая практика.

Другие вопросы по тегам