Tôi đang chạy một máy chủ nhỏ (dựa trên Windows). Khi tôi kiểm tra các bản ghi, tôi thấy một luồng các nỗ lực hack mật khẩu (không thành công) đều đặn. Tôi có nên cố gắng báo cáo những nỗ lực đó cho chủ sở hữu các địa chỉ IP nguồn không, hay những nỗ lực này hiện nay được coi là hoàn toàn bình thường và dù sao đi nữa, không ai sẽ làm bất cứ điều gì về chúng?
Câu trả lời:
Mặc dù câu trả lời có thể phụ thuộc rất lớn vào cơ quan mà bạn đang cố gắng thông báo, tôi tin rằng nói chung bạn nên làm. Trên thực tế, vì việc theo dõi và trả lời hộp thư lạm dụng cho tổ chức của chúng tôi là một trong những nhiệm vụ chính của tôi, tôi có thể tích cực nói, "Có, làm ơn!". Tôi đã có cuộc trò chuyện tương tự với các thành viên của các tổ chức bảo mật khác và câu trả lời dường như chủ yếu bao gồm:
Tôi, tất nhiên, sẽ không cho bạn biết để làm theo những quy tắc này, nhưng tôi muốn giới thiệu erring ở mặt bên của báo cáo. Nó thường không tốn nhiều công sức và thực sự có thể giúp đỡ những kẻ ở đầu bên kia. Lý do của họ là các ISP không thường xuyên ở các vị trí để thực hiện các hành động có ý nghĩa, vì vậy họ sẽ gửi thông tin đi. Tôi có thể nói rằng chúng tôi sẽ tích cực theo đuổi vấn đề. Chúng tôi không đánh giá cao các máy bị hack trên mạng của chúng tôi vì chúng có xu hướng lan rộng.
Bí quyết thực sự là chính thức hóa phản hồi và quy trình báo cáo của bạn để có thể thống nhất giữa các báo cáo, cũng như giữa các nhân viên. Chúng tôi muốn, tối thiểu, như sau:
Nếu bạn cũng có thể bao gồm một mẫu các thông điệp tường trình giúp bạn hiểu, điều đó cũng có thể hữu ích.
Thông thường, khi chúng tôi thấy loại hành vi này, chúng tôi cũng tạo ra các khối tường lửa có phạm vi phù hợp nhất tại vị trí thích hợp nhất. Các định nghĩa về sự phù hợp sẽ phụ thuộc đáng kể vào những gì đang xảy ra, loại hình kinh doanh của bạn và cơ sở hạ tầng của bạn trông như thế nào. Nó có thể bao gồm từ việc chặn IP tấn công duy nhất tại máy chủ, tất cả các cách để không định tuyến ASN đó ở biên giới.
Như những gì lynxman nói, tất cả những gì bạn thực sự có thể làm là liên hệ với bộ phận Lạm dụng ISP của họ và thông báo cho họ. Tôi sẽ chặn IP đó cả trong Tường lửa và trên máy chủ. Thứ hai, tôi cũng sẽ thiết lập khóa dựa trên nỗ lực trong chính sách Nhóm (nếu bạn có AD). Miễn là Mật khẩu của bạn mạnh, tôi sẽ không lo lắng về điều đó, tôi có Máy chủ mà tôi chạy để học và tôi nhận được các nỗ lực đăng nhập cả ngày.
Thật không may, nó hoàn toàn bình thường, hầu hết các nỗ lực này được tạo thông qua các máy chủ khác cũng đã bị hack.
Điều tốt nhất bạn có thể làm là nếu bạn thấy các cuộc tấn công này liên tục xuất hiện từ một địa chỉ IP duy nhất và bạn nghi ngờ rằng máy chủ đã bị hack là gửi email cho kẻ lạm dụng / sysadmin tại máy chủ đó để họ có thể khắc phục tình trạng này, thì rất dễ bị mất theo dõi máy chủ khi bạn quá tải và duy trì hàng trăm người trong số họ.
Trong mọi trường hợp khác tường lửa, lọc hoặc bỏ qua chủ yếu là một thực hành tốt.
Vấn đề của bạn ở đây là số lượng lớn trong số này có khả năng đến từ các máy bị xâm nhập, ở nhiều quốc gia khác nhau, có lẽ là PC của người dùng gia đình và có thể nằm trong kế hoạch xử lý động.
Điều đó có nghĩa là chủ sở hữu của các máy không biết họ đang chuyển tiếp các cuộc tấn công và không quan tâm, họ có thể ở các quốc gia nơi luật pháp thực sự không quan tâm và ISP có thể không quan tâm và trong mọi trường hợp đã thắng Tôi không muốn truy cập nhật ký để xem ai đang sử dụng địa chỉ IP đó.
Kế hoạch tốt nhất là sự kết hợp của lynxman, Jacob's và pack '- thường chặn chúng, nhưng thiết lập một kịch bản để xem liệu có thủ phạm phổ biến nào và đặc biệt gửi thông tin của bạn đến các bộ phận Lạm dụng của các ISP đó.
Sử dụng tốt hơn thời gian của bạn theo cách đó.