ハッキングの試みを報告する必要がありますか?
小さな(Windowsベースの)サーバーを実行しています。ログを確認すると、(推測に失敗した)パスワードを推測するハッキングの試みが着実に流れています。これらの試みをソースIPアドレスの所有者に報告する必要がありますか、またはこれらの試みは今日では完全に正常であると考えられていますが、とにかく誰も何もしません。
答えはあなたが伝えようとしている機関に大きく依存する可能性がありますが、私は一般的にあなたがすべきであると信じています。実際、私たちの組織の悪用メールボックスを監視して対応することは、私の主要な職務の1つであるため、「はい、お願いします!」私は他のセキュリティ組織のメンバーと同じ会話をしました、そして答えは主に次のように構成されているようでした:
- IPのWhois情報がビジネスまたは大学を示している場合は、
- IPのwhois情報がISPを示している場合は、気にしないでください
もちろん、私はあなたにtoはそれらのルールに従うとは言いませんが、私はレポートの側で誤ることをお勧めします。それは通常多くの努力を要しません、そしてcanは反対側の人々を本当に助けます。彼らの推論は、ISPは意味のある行動をとる立場にないことが多いため、情報を離れた場所に保管するというものでした。積極的に追求していきます。ネットワーク上でハッキングされたマシンは拡散する傾向があるため、感謝しません。
本当のトリックは、レポート間だけでなくスタッフ間でも一貫性を保つことができるように、応答とレポートの手順を形式化することです。少なくとも次のものが必要です。
- 攻撃システムのIPアドレス
- イベントのタイムスタンプ(タイムゾーンを含む)
- エンドシステムのIPアドレス
気付いたログメッセージのサンプルも含めることができれば、それも役立ちます。
通常、このような動作が見られる場合は、最も適切なスコープのファイアウォールブロックを最も適切な場所に設置します。適切なの定義は、何が起こっているのか、どのようなビジネスをしているのか、インフラストラクチャがどのように見えるのかによって大きく異なります。これは、ホストで単一の攻撃IPをブロックすることから、そのASNを境界でルーティングしないことまでさまざまです。
これはブルートフォース攻撃と呼ばれるパスワード推測攻撃です。最善の防御策は、ユーザーのパスワードが強力であることを確認することです。もう1つの解決策は、ログインに失敗したIPアドレスをロックアウトすることです。ブルートフォース攻撃を阻止するのは困難です。
Lynxmanが言ったように、実際にできることは、ISPの虐待部門に連絡して通知することです。ファイアウォールとサーバーの両方でそのIPをブロックします。次に、ADを使用している場合は、グループポリシーで試行ベースのロックアウトもセットアップします。あなたのパスワードが強力である限り、私はそれについて心配しません、私は学ぶために実行するサーバーを持っています、そして私は一日中ログイン試行を取得します。
ここでの問題は、これらの膨大な数が、おそらくホームユーザーのPCであり、おそらくダイナミックアドレッシングスキームにある、さまざまな国の侵害されたマシンからのものであるということです。
つまり、マシンの所有者は攻撃が転送されていることを知らず、気にしない、法律が実際に気にしない国にいる可能性があり、ISPは気にしない、そしていずれにせよ勝つログをトロールして、そのIPアドレスを使用しているユーザーを確認する必要はありません。
最善の計画は、lynxman、Jacob、およびpacksを組み合わせたものです。通常はそれらをブロックしますが、スクリプトを設定して、一般的な原因が存在するかどうかを確認し、具体的には、それらのISPの虐待部門に通信を送信します。
そのようにあなたの時間のより良い使用。
残念ながら、それは完全に正常です。この試みのほとんどは、同様にハッキングされた他のサーバーを介して行われます。
あなたができる最善のことは、これらの攻撃が固有のIPアドレスから持続的に発生していることを確認し、サーバーがハッキングされた疑いがある場合は、そのサーバーで悪用/システム管理者にメールを送信して、状況を修正できるようにすることです。過負荷状態でサーバーを何百も維持しているときのサーバーの追跡。
それ以外の場合は、ファイアウォール、フィルタリング、または無視が主に良い方法です。