Должен ли я сообщать о попытках взлома?

12

Я использую небольшой (на базе Windows) сервер. Когда я проверяю логи, я вижу постоянный поток (неуспешных) попыток взлома паролей. Должен ли я попытаться сообщить об этих попытках владельцам исходных IP-адресов, или эти попытки в настоящее время считаются абсолютно нормальными, и никто не будет беспокоиться о них?

security hacking abuse Mormegil
источник

Ответы:

15

Хотя ответ может сильно зависеть от агентства, которое вы пытаетесь сообщить, я считаю, что в целом вы должны. На самом деле, поскольку мониторинг и реагирование на почтовый ящик для злоупотреблений в нашей организации является одной из моих основных рабочих обязанностей, я могу с уверенностью сказать: «Да, пожалуйста!». У меня был тот же самый разговор с членами других организаций безопасности, и ответы, казалось, в основном состояли из:

  • Если информация whois об IP показывает бизнес или университет, то сообщите
  • Если информация whois на IP показывает провайдера, не беспокойтесь

Я, конечно, не буду говорить вам , чтобы следовать этим правилам, но я бы рекомендовал заблудших на стороне отчетности. Обычно это не требует больших усилий и может реально помочь ребятам на другом конце. Их аргументация заключалась в том, что интернет-провайдеры не всегда могут принимать значимые меры, поэтому они будут хранить информацию. Могу сказать, что мы будем настойчиво заниматься этим вопросом. Мы не ценим взломанные машины в нашей сети, поскольку они имеют тенденцию к распространению.

Реальный трюк состоит в том, чтобы формализовать ваш ответ и процедуру отчетности, чтобы она могла быть согласованной между отчетами, а также между сотрудниками. Мы хотим, как минимум, следующее:

  1. IP-адрес атакующей системы
  2. Отметка времени (включая часовой пояс) события
  3. IP-адреса систем на вашем конце

Если вы также можете включить образец сообщений журнала, которые предупредили вас, это также может быть полезно.

Обычно, когда мы видим такое поведение, мы также устанавливаем блоки межсетевого экрана с наиболее подходящей областью действия в наиболее подходящем месте. Соответствующие определения будут в значительной степени зависеть от того, что происходит, в каком бизнесе вы находитесь, и как выглядит ваша инфраструктура. Он может варьироваться от блокирования одного атакующего IP на хосте, вплоть до того, чтобы не маршрутизировать этот ASN на границе.

Скотт Пак
источник
Спасибо - приятно знать. Существуют ли простые в развертывании инструменты для автоматизации таких отчетов? Выявление видов злоупотреблений, о которых полезно сообщать, определение того, кому следует сообщать, включая полезную информацию, работу с отчетами, которые получают отказ, и т. Д.?
nealmcb
@Nealmcb - есть забавные дорогие системы IDS, которые могут подытожить все это. Я видел, как Cisco MARS делает это. Я не знаю, есть ли дешевые / бесплатные опции, которые облегчают эту задачу, но если ваш набор журналов невелик, вы, вероятно, можете написать регистратор, чтобы представить вам простой в использовании отчет.
mfinni
2

Это атака с использованием паролей, известная как атака методом перебора. Лучшая защита - убедиться, что пароли пользователей надежны. Другое решение - заблокировать IP-адрес с несколькими неудачными входами. Атаки грубой силой остановить трудно.

alvosu
источник
2

Как сказал Lynxman, все, что вы на самом деле можете сделать, - это связаться с их отделом по борьбе со злоупотреблениями интернет-провайдеров и сообщить им Я бы заблокировал этот IP как в брандмауэре, так и на сервере. Во-вторых, я бы также настроил блокировку на основе попыток в групповой политике (если у вас AD). Пока ваши пароли надежны, я бы об этом не беспокоился, у меня есть серверы, которые я запускаю для изучения, и я получаю попытки входа в систему весь день.

Иаков
источник
Я имел в виду связь с их Интернет-провайдерами (ничего важного не произошло, атака не была успешной, поэтому я могу захотеть связаться с Интернет-провайдером) - стоит ли это делать или это пустая трата времени?
Мормегил
@mormegil Это обычно зависит от меня, но если это в России или стране в старом советском блоке, я не беспокоюсь. Они могут нулевой маршрут к вам, который будет получать трафик от него до вас, чтобы остановить.
Джейкоб
1

К сожалению, это совершенно нормально, большинство этих попыток генерируются и другими взломанными серверами.

Лучшее, что вы можете сделать, это то, что, если вы видите, что эти атаки постоянно происходят с уникального IP-адреса, и у вас есть подозрение, что сервер был взломан, это отправить по электронной почте сообщения о злоупотреблениях / sysadmins на этом сервере, чтобы они могли исправить ситуацию, проиграть довольно легко. отслеживать сервер, когда вы перегружены, и поддерживать сотни из них.

В любом другом случае брандмауэр, фильтрация или игнорирование - это в основном хорошая практика.

lynxman
источник
1

Ваша проблема здесь заключается в том, что огромное количество таких устройств, вероятно, происходит от скомпрометированных компьютеров в разных странах, которые, вероятно, являются компьютерами домашних пользователей и, вероятно, используют схемы динамической адресации.

Это означает, что владельцы компьютеров не знают, что они пересылают атаки, и им все равно, они могут быть в тех странах, где закон действительно не волнует, и ISP, вероятно, не волнует и в любом случае выиграл не хочу просматривать журналы, чтобы увидеть, кто использовал этот IP-адрес.

Лучший план - это комбинация lynxman, Jacob и packs - обычно их блокируют, но настраивают сценарий, чтобы увидеть, есть ли общие преступники, и, в частности, отправляют ваши сообщения в отделы злоупотреблений этих интернет-провайдеров.

Лучше использовать свое время таким образом.

Рори Олсоп
источник