secureserver.netからの試みの侵入
この数週間で、secureserver.netにマッピングされたIPアドレスからの数百とは言わないまでも数十回の侵入の試みがありました。私はこれらがルックアップしている人からのGoDaddyマシンであることを知っています。マシンのネットワークで何かが起こっているようです。マシンがsshを介してroot、adminなどとしてログインしようとしているのを毎日目にしています。これらのIPサブネットをブロックすると、毎日新しいバッチがログに表示されます。
不正行為を報告する連絡先が見つかりません。私が彼らに電話したとき、私は私の口座番号を要求し続けた電話の向こう側の男から多くのがらくたを得ました。私が顧客ではないことを彼に伝えることはできませんでしたが、彼らのネットワークが侵害されているのではないかと心配していました。
GoDaddyサーバーからの試みの異常な数の中断に他の誰かが気付いたことがありますか?私がこれを誰に報告すべきか知っている人はいますか?
攻撃がsecureserver.netから行われたことは非常に奇妙です。過去にGoDaddyの以前の顧客であった私は、そのドメイン名がメールサービスに使用されているのを見ただけです。参照: https://login.secureserver.net/?app=wbe 私は問題のあるIPでWhoisを実行し、テクニカルサポート/不正使用コンサルタントに問題を報告します。この情報は、whoisレポートにあります。応答がない場合は、苦情をブラックリストサービスプロバイダーに送信すると、応答が返されます。
上記の方法を使用する前に、このフォームを使用して申し立てを送信します。
ログイン攻撃を軽減するために Fail2ban をお勧めします。これは、SSHログインから保護するための構成を必要としない無料/オープンソースの自動化ソリューションです試み。
IPがログインを頻繁に試行して失敗する場合(iirc、これはデフォルトで10分間に10回試行されます)、Fail2banはシステムのファイアウォールにしばらくの間そのIPのトラフィックをドロップするように指示します(iirc、デフォルトは10分)。 Fail2banは特定のエクスプロイトプローブも探し、それらもブロックできます。
緩和策が整ったら、問題の原因を突き止めるために取り組むことで、他の人を助けるために取り組むことができます。 GoDaddyの虐待チームに連絡して、問題について伝えます。うまくいけば、彼らはあなたのログを使って問題の原因を突き止めることができます。
Cisco Talosが全世界のSSHログインスイープの3分の1を単一のネットワークに関連付けることができた SSHPsychos インシデントも参照してください。インターネット。 (攻撃は別のネットワークから再開されましたが、各テイクダウンは防御側よりも攻撃側の方が大幅に高価です。)