Если я обнаружу анонимную попытку взлома моих серверов, будет ли соответствующий ответ? Или это случай посмотреть на то, что они пытались сделать, и убедиться, что мы защищены от этого и подобных атак?
Привет,
Робин
Вы должны быть новичком в сетевой безопасности.
Я даже не могу сосчитать, сколько раз наши серверы получали попытки взлома в день. В наши дни это обычная часть входящего трафика в Интернете. Вы можете не только ожидать, что этот трафик будет исходить от взломанных домашних компьютеров, но вы также можете ожидать, что целые сети из них будут работать вместе, как SETI @ Home, за исключением больших и вынужденных.
Я бы сказал, что подавляющее большинство этих «ботнетов» используются для рассылки спама и мошенничества, объем которых просто огромен.
Соответствующий ответ - убедиться, что вы не уязвимы (что более чем вероятно, если вы действительно сможете обнаруживать атаки), и, если это вообще возможно, ограничьте доступ только несколькими IP-адресами тех людей, которым разрешен доступ в первую очередь.
Правильный ответ зависит от многих вещей.
Во-первых, важно понимать, что подавляющее большинство атак на серверы совершаются не злоумышленником напрямую, а скомпрометированной машиной. Ваш ответ должен заключаться в использовании информации DNS whois об источнике, чтобы сообщить владельцам этого IP-адреса об атаках, исходящих из их сети. Скорее всего, у них либо скомпрометированная машина, либо злоумышленник, и обоим они позаботятся изнутри.
Во-вторых, проанализируйте атаки и убедитесь, что вы приняли соответствующие меры для защиты от них.
Это случай посмотреть на то, что они пытались сделать, и убедиться, что мы защищены от этого и других подобных атак?
Да, обязательно сделайте это.
Решите ли вы сообщать о таких неудачных попытках, на самом деле зависит от того, сколько времени у вас есть. Согласно принятому соглашению операторы сети должны использовать abuse@ адрес в своем домене и подробно опишите это, а также любую процедурную информацию в inetnum запись их RIR для любых диапазонов адресов, за которые они несут ответственность.
Вы можете получить эту информацию из соответствующего RIR, выполнив whois против IP-адреса потенциального злоумышленника. Не доверяйте обратному DNS IP-адреса, потому что его можно легко подменить на несвязанный домен или имя хоста.
Реальность такова, что большинство попыток будет произведено распределенными и автоматизированными утилитами, работающими из сетей, которые просто не будут отслеживать сообщения о злоупотреблениях. Если вы чувствуете себя особенно бдительным, вы можете отправлять отчеты. Но есть вероятность, что если IP не переадресовывается в известную организацию, вам лучше потратить время на защиту себя.
Ваш ответ во многом зависит от вектора, который они использовали. Например, у меня была виртуальная машина в Rackspace Cloud, которая постоянно подвергалась попыткам SSH. Итак, я добавил несколько правил IPTables, чтобы разрешить SSH только с моего IP. Теперь, если бы вектор был веб-службой, которую вы хотите, чтобы все видели, очевидно, что ограничение не было бы ответом.
найдите адрес электронной почты для злоупотреблений, связанный с этим IP-адресом, и отправьте электронное письмо с предупреждением о атаках. предоставить журналы. вы можете использовать whois для получения информации об IP / домене
Вам необходимо проверять любые изменения в ваших файлах, проверять свой код, убедиться, что вы дезинфицируете любые входные данные. вы можете ограничить риски, запустив свой http-сервер в chrooted / jailed или / и используя IDS, подключенный к порту монитора вашего коммутатора.