Estou executando um servidor pequeno (baseado no Windows). Quando verifico os logs, vejo um fluxo constante de tentativas de hackers (sem êxito) de adivinhação de senha. Devo tentar relatar essas tentativas aos proprietários dos endereços IP de origem, ou essas tentativas hoje em dia são consideradas completamente normais e ninguém se incomodaria em fazer nada a respeito?
Embora a resposta possa depender muito da agência que você está tentando informar, acredito que em geral você deveria. De fato, como monitorar e responder à caixa de correio de abuso de nossa organização é uma das minhas principais funções no trabalho, posso dizer positivamente: 'Sim, por favor!'. Eu tive essa mesma conversa com membros de outras organizações de segurança e as respostas pareciam basicamente consistir em:
Se as informações whois no IP mostrarem uma empresa ou universidade, informe
Se as informações whois no IP mostrarem um ISP, não se preocupe
Obviamente, não vou dizer para você seguir essas regras, mas recomendo que você se incline a denunciar. Geralmente, não é preciso muito esforço e pode realmente ajudar os caras do outro lado. O raciocínio deles era que os ISPs geralmente não estão em posição de tomar ações significativas, então eles arquivam as informações. Posso dizer que prosseguiremos agressivamente com o assunto. Não apreciamos máquinas invadidas em nossa rede, pois elas tendem a se espalhar.
O verdadeiro truque é formalizar sua resposta e o procedimento de relatório, para que seja consistente entre os relatórios e também entre a equipe. Queremos, no mínimo, o seguinte:
Endereço IP do sistema atacante
Carimbo de data e hora (incluindo fuso horário) do evento
Os endereços IP dos sistemas do seu lado
Se você também pode incluir uma amostra das mensagens de log que informaram você, isso também pode ser útil.
Normalmente, quando vemos esse tipo de comportamento, também instituímos blocos de firewall do escopo mais apropriado no local mais apropriado. As definições de apropriado vão depender significativamente do que está acontecendo, em que tipo de negócio você está e com a aparência de sua infraestrutura. Pode variar de bloquear o único IP de ataque no host, até o roteamento desse ASN na fronteira.
Obrigado - bom saber. Existem ferramentas simples de implantar para ajudar a automatizar esses relatórios? Identificando os tipos de abuso que são úteis para denunciar, descobrindo a quem denunciar, incluindo as informações úteis, lidando com os relatórios que são devolvidos, etc.?
Nealmcb
@Nealmcb - existem sistemas IDS caros e divertidos que podem resumir tudo isso. Eu vi o Cisco MARS fazer isso. Não sei se existem opções baratas / gratuitas que facilitam isso, mas se o seu conjunto de logs for pequeno, você provavelmente poderá escrever um raspador de logs para apresentar um relatório fácil de usar.
mfinni
2
Este é um ataque de adivinhação de senha, conhecido como ataque de força bruta. A melhor defesa é garantir que as senhas dos usuários sejam fortes. Outra solução é bloquear um endereço IP com vários logins com falha. Os ataques de força bruta são difíceis de parar.
Como o que o lynxman disse, tudo o que você realmente pode fazer é entrar em contato com o departamento de abuso de provedores de serviços de Internet e informá-los. Eu bloquearia esse IP no Firewall e no servidor. Segundo, eu também configuraria a tentativa de bloqueio baseado na política de grupo (se você tiver o AD). Desde que suas senhas sejam fortes, não me preocuparia, tenho servidores que corro para aprender e recebo tentativas de login o dia inteiro.
Foi o que quis dizer entrar em contato com os ISPs (nada importante aconteceu, o ataque não foi bem-sucedido, portanto, entrar em contato com o ISP é tudo o que eu gostaria de fazer) - devo fazê-lo ou é uma perda de tempo?
Mormegil 29/01
@mormegil Depende normalmente, mas se estiver na Rússia ou em um país do antigo bloco soviético, não me incomodo. Eles podem rota nula para você, que receberá tráfego dele para você parar.
Jacob
1
Infelizmente, é completamente normal, a maioria dessas tentativas é gerada por outros servidores que foram invadidos também.
O melhor que você pode fazer é que, se você vir esses ataques persistentemente de um endereço IP único e suspeitar que o servidor foi hackeado, envie um email para os abusos / administradores de sistema desse servidor para que eles possam corrigir a situação, é muito fácil perder rastrear um servidor quando você estiver sobrecarregado e manter centenas deles.
Em qualquer outro caso, firewall, filtragem ou ignição é principalmente uma boa prática.
Seu problema aqui é que o grande número dessas prováveis provavelmente vem de máquinas comprometidas, em vários países, que provavelmente são PCs de usuários domésticos e provavelmente estão em esquemas de endereçamento dinâmico.
O que significa que os proprietários das máquinas não sabem que estão encaminhando ataques e não se importam; podem estar em países onde a lei realmente não se importa, e os ISPs provavelmente não se importam e, de qualquer forma, venceram deseja rastrear logs para ver quem estava usando esse endereço IP.
O melhor plano é uma combinação de Lynxman, Jacob e Packs - geralmente bloqueia-os, mas crie um script para ver se há culpados comuns e envie suas comunicações aos departamentos de abuso desses provedores.
Este é um ataque de adivinhação de senha, conhecido como ataque de força bruta. A melhor defesa é garantir que as senhas dos usuários sejam fortes. Outra solução é bloquear um endereço IP com vários logins com falha. Os ataques de força bruta são difíceis de parar.
fonte
Como o que o lynxman disse, tudo o que você realmente pode fazer é entrar em contato com o departamento de abuso de provedores de serviços de Internet e informá-los. Eu bloquearia esse IP no Firewall e no servidor. Segundo, eu também configuraria a tentativa de bloqueio baseado na política de grupo (se você tiver o AD). Desde que suas senhas sejam fortes, não me preocuparia, tenho servidores que corro para aprender e recebo tentativas de login o dia inteiro.
fonte
Infelizmente, é completamente normal, a maioria dessas tentativas é gerada por outros servidores que foram invadidos também.
O melhor que você pode fazer é que, se você vir esses ataques persistentemente de um endereço IP único e suspeitar que o servidor foi hackeado, envie um email para os abusos / administradores de sistema desse servidor para que eles possam corrigir a situação, é muito fácil perder rastrear um servidor quando você estiver sobrecarregado e manter centenas deles.
Em qualquer outro caso, firewall, filtragem ou ignição é principalmente uma boa prática.
fonte
Seu problema aqui é que o grande número dessas prováveis provavelmente vem de máquinas comprometidas, em vários países, que provavelmente são PCs de usuários domésticos e provavelmente estão em esquemas de endereçamento dinâmico.
O que significa que os proprietários das máquinas não sabem que estão encaminhando ataques e não se importam; podem estar em países onde a lei realmente não se importa, e os ISPs provavelmente não se importam e, de qualquer forma, venceram deseja rastrear logs para ver quem estava usando esse endereço IP.
O melhor plano é uma combinação de Lynxman, Jacob e Packs - geralmente bloqueia-os, mas crie um script para ver se há culpados comuns e envie suas comunicações aos departamentos de abuso desses provedores.
Melhor uso do seu tempo dessa maneira.
fonte