セキュリティ違反に関与したIPアドレスを調査するにはどうすればよいですか？

このログメッセージの「潜在的な侵入の試み」の言語は、頻繁に混乱の原因でした 2016年に削除されました 。引き続き表示されるという事実は、アップグレードする必要がある古いバージョンのOpenSSHを実行していることを示しています。

このログメッセージの唯一の意味は、メッセージに示されたIPアドレスがサーバーへのSSH接続を試みたということです。このホスティングプロバイダーからの接続を期待していない場合は、このIPでSSHスキャナーが実行されていた可能性があります。これは（残念ながら）非常に一般的であり、ISPに報告する必要がありますが、侵入者が特に犯したことを示す信頼できる指標ではありません。

何もない。

それは別の被害者のインフラストラクチャである可能性が非常に高く、そのIPに対して実行したことはすべて、その被害者を攻撃していると見なされます。

このIPアドレスを調査する場合は、ネットワークの所有者に連絡して、不正行為を報告してください。

Host31-65-211-80.serverdedicati.aruba.it [80.211.65.31]

逆DNSルックアップは、現在このIPアドレスがaruba.itに属していることを示唆しています。 Webサイト にアクセスして、サポートリクエストを送信します。

彼らがそれについて何かするつもりかどうかはわかりませんが、誰が知っていますか。彼らが多くの不満を受け取った場合、彼らは何らかの行動をとることができます。

このアドレスのホストが感染し、攻撃者によって使用されている可能性があり、そのホストのユーザーはそれとは何の関係もありません。

セキュリティ侵害の際に攻撃者が使用したIPアドレスを持っている場合、何ができるのでしょうか。

何もありません。一言：管轄。あなたが住んでいる場合、サーバー、攻撃者のIP、または攻撃者が別の管轄区域に住んでいる場合、当局が何かをする可能性はほとんどありません。たとえば、イタリアのプロバイダーが、ロシア国民によるフランスのサーバーへの攻撃に関するアメリカの警察情報を提供することを期待しないでください。

あなたは写真を得ました。

あなたができる唯一のことは、プロバイダーに攻撃を報告することです。攻撃者が責任を負っている場合、彼のアカウントが一時停止される可能性があります（通常、ハッキングは周囲のすべてのプロバイダーのすべてのToSに対して行われます）。攻撃者が所有者でない場合、サーバーをオフラインにして、その所有者が問題を修正できます。

攻撃者に関する情報を見つけ、それを使用して当局に報告することはできますか？

サーバーログは通常使用できますが、何の証拠にもなりません。攻撃に関与するIPアドレスを特定することは難しくありませんが、攻撃の背後にいるアクターを特定することは別の話です。

攻撃者は別の犠牲者を攻撃を開始するためのプラットフォームとして使用する可能性があり、自分のサーバーが他のユーザーを攻撃するために使用される可能性があります。攻撃者が通常どこにも先導しないため、めったに使用されない場合でも、攻撃者はログに誤ったエントリを仕掛けて調査を誤解させる可能性があります。

攻撃者に関する情報を探すのに適切な場所を探しているのですか、それとも他に探している場所があるのですか？

あなたは正しい場所を見ていますが、間違ったデータです。 IPはあなたが持っている唯一のものです。

知名度の高い違反について聞くと、攻撃の発生元を追跡できることがよくあります。それがどうやって行われるのか知りたいです。

ほとんどの場合、攻撃者は攻撃を自慢します。攻撃が注目度の高い攻撃だった場合、当局は耳を傾け、世界中に警察を移動させ始めます。または、重要なデータを盗んでオンラインで売り込もうとしますが、秘密の法執行機関からのみ連絡があります。

ハッカーがまだ接続している間、実行中のトレース、画面上を流れるIPアドレス、家を取り巻くパトカーを示すハリウッドシーンは存在しません。