我正在运行一个小型(基于Windows)的服务器。 当我检查日志时,我看到一个稳定的(不可思议的)密码猜测黑客行为。 我应该尝试向源IP地址的所有者报告这些尝试,还是现在认为这些尝试完全正常,没有人会打扰他们做任何事情呢?
虽然答案可以很大程度上取决于你试图通知的机构,但我相信,一般来说,你应该。 事实上,由于监督和回应我们组织的滥用信箱是我的主要工作职责之一,所以我可以肯定地说'是的请求'。 我和其他安全组织的成员进行了同样的谈话,答案似乎主要包括:
当然,我不会告诉你遵守这些规则,但我会build议在报道方面犯错。 这通常不需要太多的努力,而且真的可以帮助那些在另一端的人。 他们的推理是,ISP不常采取有意义的行动,所以他们会把信息提交出去。 我可以说我们会积极地追究这件事。 我们不喜欢我们networking上被黑客入侵的机器,因为它们有扩散的趋势。
真正的诀窍是正式制定你的回应和报告程序,以便报告之间以及员工之间保持一致。 我们至less要这样做:
如果你还可以包含一个提示你的日志消息的样本,那也是有用的。
通常情况下,当我们看到这种行为时,我们也会在最合适的位置build立最合适范围的防火墙。 合适的定义将取决于所发生的事情,您所处的业务types以及您的基础设施的外观。 它可能包括阻止主机上的单个攻击性IP,一直到在边界处不对该ASN进行路由。
这是一种称为蛮力攻击的口令猜测攻击。 最好的防御措施是确保用户密码强大。 另一个解决scheme是locking多个login失败的IP地址。 蛮力攻击难以阻止。
正如lynxman所说,你真正能做的就是联系他们的ISP滥用部门并通知他们。 我会阻止在防火墙和服务器上的IP。 其次,我还会在组策略中设置基于尝试的locking(如果您有AD)。 只要你的密码强大,我不会担心,我有服务器,我运行学习,我一整天都有login尝试。
不幸的是,这是完全正常的,大部分尝试都是通过其他被黑客入侵的服务器产生的。
你所能做的最好的是,如果你看到这些攻击来自一个独特的IP地址,并且你怀疑服务器被黑客攻击是通过电子邮件发送给服务器的滥用/系统pipe理员,以便他们可以解决这个问题,这很容易失去跟踪服务器,当你超载和维护数百个。
在其他任何情况下,防火墙,过滤或忽略大多是一种好的做法。
这里的问题是,其中的大部分可能来自受害机器,在各个国家,可能是家庭用户的PC,可能是dynamic寻址scheme。
这意味着机器的所有者不知道他们是转发攻击,并不关心,他们可能在法律真的不在乎的国家,而ISP可能不关心,无论如何赢得不想拖网日志查看谁在使用该IP地址。
最好的计划是lynxman's,Jacob's和packs的组合 – 通常阻止他们,但是build立一个脚本,看看是否有共同的罪魁祸首,并专门将你的通信发送给ISP的滥用部门。
这样更好地利用你的时间。