У меня небольшой (на базе Windows) сервер. Когда я проверяю журналы, я вижу постоянный поток (безуспешных) попыток взлома пароля. Следует ли мне пытаться сообщать об этих попытках владельцам исходных IP-адресов, или эти попытки в настоящее время считаются совершенно нормальными, и в любом случае никто не будет беспокоиться о них?
Хотя ответ может во многом зависеть от агентства, которое вы пытаетесь сообщить, я считаю, что в целом вам следует. Фактически, поскольку мониторинг почтового ящика оскорблений и реагирование на него для нашей организации является одной из моих основных рабочих обязанностей, я могу с уверенностью сказать: «Да, пожалуйста!». У меня был такой же разговор с членами других организаций безопасности, и ответы, казалось, в основном состояли из:
Я, конечно, не скажу к следуйте этим правилам, но я бы порекомендовал ошибиться в сообщении. Обычно это не требует больших усилий, и жестяная банка действительно выручайте ребят на другом конце провода. Их аргументация заключалась в том, что интернет-провайдеры не всегда в состоянии предпринять значимые действия, поэтому они сохранят информацию. Могу сказать, что мы будем активно заниматься этим вопросом. Мы не ценим взломанные машины в нашей сети, поскольку они имеют тенденцию к распространению.
Настоящая уловка состоит в том, чтобы формализовать процедуру вашего ответа и отчетности, чтобы она была согласованной между отчетами, а также между сотрудниками. Мы хотим, как минимум, следующее:
Если вы также можете включить образец сообщений журнала, которые вас предупредили, это также может быть полезно.
Обычно, когда мы наблюдаем такое поведение, мы также устанавливаем блоки брандмауэра наиболее подходящей области в наиболее подходящем месте. Определение подходящего будет в значительной степени зависеть от того, что происходит, каким вы занимаетесь бизнесом и как выглядит ваша инфраструктура. Он может варьироваться от блокировки единственного атакующего IP на хосте до отказа от маршрутизации этого ASN на границе.
Как сказал lynxman, все, что вы действительно можете сделать, это связаться с их отделом по работе с интернет-провайдерами и сообщить об этом. Я бы заблокировал этот IP-адрес как в брандмауэре, так и на сервере. Во-вторых, я бы также установил блокировку на основе попыток в групповой политике (если у вас есть AD). Пока ваши пароли надежны, я бы не стал об этом беспокоиться, у меня есть серверы, которые я запускаю для изучения, и я получаю попытки входа в систему в течение всего дня.
Это атака подбора пароля, известная как атака грубой силы. Лучшая защита - убедиться, что пароли пользователей надежны. Другое решение - заблокировать IP-адрес при нескольких неудачных попытках входа в систему. Атаки грубой силы трудно остановить.
К сожалению, это совершенно нормально, большинство этих попыток происходит через другие взломанные серверы.
Лучшее, что вы можете сделать, это то, что если вы видите, что эти атаки постоянно исходят с уникального IP-адреса, и у вас есть подозрение, что сервер был взломан, - это отправить электронное письмо о злоупотреблениях / системным администраторам на этом сервере, чтобы они могли исправить ситуацию, довольно легко потерять отслеживать сервер, когда вы перегружены, и поддерживать сотни из них.
В любом другом случае использование брандмауэра, фильтрации или игнорирования является хорошей практикой.
Ваша проблема здесь в том, что огромное количество из них, вероятно, будет исходить от взломанных машин в разных странах, которые, вероятно, являются ПК домашних пользователей и, вероятно, используют схемы динамической адресации.
Это означает, что владельцы машин не знают, что они пересылают атаки, и им все равно, они могут быть в странах, где закон действительно не заботится, а интернет-провайдерам, вероятно, все равно, и в любом случае они победили. Я не хочу просматривать журналы, чтобы узнать, кто использовал этот IP-адрес.
Лучший план - это комбинация Lynxman's, Jacob и пакетов - обычно блокируйте их, но настройте сценарий, чтобы увидеть, есть ли общие виновники, и специально отправлять ваши сообщения в отделы злоупотреблений этих интернет-провайдеров.
Так лучше используйте свое время.