Korzystam z małego serwera (opartego na systemie Windows). Gdy sprawdzam dzienniki, widzę ciągły (nieudany) sposób prób hakerskich zgadywania haseł. Czy powinienem spróbować zgłosić te próby właścicielom źródłowych adresów IP, czy te próby są obecnie uważane za całkowicie normalne i i tak nikt by się tym nie przejmował?
Odpowiedź może zależeć w dużej mierze od agencji, o której usiłujesz poinformować, ale ogólnie uważam, że powinieneś. W rzeczywistości, ponieważ monitorowanie skrzynki pocztowej nadużyć w naszej organizacji i reagowanie na nią jest jednym z moich podstawowych obowiązków, mogę z całą pewnością powiedzieć „tak, proszę!”. Przeprowadziłem tę samą rozmowę z członkami innych organizacji bezpieczeństwa, a odpowiedzi wydawały się w dużej mierze składać się z:
Jeśli informacje Whois w adresie IP wskazują firmę lub uniwersytet, zgłoś się
Jeśli informacje Whois w adresie IP pokazują ISP, nie przejmuj się
I, oczywiście, nie powiem , aby zastosować się do tych zasad, ale polecam błądzących po stronie raportowania. Zwykle nie wymaga to dużego wysiłku i naprawdę może pomóc chłopakom z drugiego końca. Ich rozumowanie było takie, że dostawcy usług internetowych często nie są w stanie podejmować znaczących działań, więc będą przechowywać informacje. Mogę powiedzieć, że będziemy agresywnie kontynuować tę sprawę. Nie doceniamy zhakowanych maszyn w naszej sieci, ponieważ mają one tendencję do rozprzestrzeniania się.
Prawdziwą sztuczką jest sformalizowanie odpowiedzi i procedury raportowania, tak aby była spójna między raportami, a także między pracownikami. Chcemy co najmniej:
Adres IP atakującego systemu
Znacznik czasu (w tym strefa czasowa) wydarzenia
Adresy IP systemów na twoim końcu
Jeśli możesz również dołączyć próbkę komunikatów dziennika, które cię podpowiedziały, może to być również przydatne.
Zwykle, gdy widzimy takie zachowanie, tworzymy również bloki zapory o najbardziej odpowiednim zasięgu w najbardziej odpowiedniej lokalizacji. Definicje odpowiednich będą w znacznym stopniu zależeć od tego, co się dzieje, jaki rodzaj działalności prowadzisz i jak wygląda twoja infrastruktura. Może wahać się od blokowania pojedynczego atakującego adresu IP na hoście, aż do nie rutowania tego ASN na granicy.
Dzięki - dobrze wiedzieć. Czy są jakieś proste do wdrożenia narzędzia, które pomogą zautomatyzować takie raporty? Zidentyfikować rodzaje nadużyć, które są przydatne do zgłaszania, znaleźć, do kogo się zgłosić, w tym przydatne informacje, radzić sobie z raportami, które zostaną odrzucone itp.?
nealmcb
@ Nealmcb - są zabawne, drogie systemy IDS, które mogą to wszystko podsumować. Widziałem, jak robi to Cisco MARS. Nie wiem, czy istnieją tanie / bezpłatne opcje, które ułatwiają to, ale jeśli twój zestaw dzienników jest niewielki, prawdopodobnie możesz napisać skrobak dziennika, aby przedstawić ci łatwy w użyciu raport.
mfinni
2
Jest to atak polegający na odgadywaniu hasła, znany jako atak brutalnej siły. Najlepszą obroną jest upewnienie się, że hasła użytkowników są silne. Innym rozwiązaniem jest zablokowanie adresu IP za pomocą wielu nieudanych prób logowania. Ataki brutalną siłą są trudne do zatrzymania.
Jak powiedział Lynxman, wszystko, co naprawdę możesz zrobić, to skontaktować się z działem nadużyć dostawców usług internetowych i poinformować ich. Zablokowałbym to IP zarówno w Zaporze ogniowej, jak i na serwerze. Po drugie, ustawiłbym również blokadę opartą na próbach w zasadach grupy (jeśli masz AD). Tak długo, jak twoje hasła są silne, nie martwię się o to, mam Serwery, które uruchamiam, aby się uczyć i dostaję próby logowania przez cały dzień.
Miałem na myśli kontakt z dostawcą usług internetowych (nic ważnego się nie stało, atak nie powiódł się, dlatego skontaktowanie się z dostawcą usług internetowych to wszystko, co chciałbym zrobić) - czy powinienem to zrobić, czy to strata czasu?
Mormegil
@mormegil Zależy, że zwykle tak robię, ale jeśli chodzi o Rosję lub kraj w starym bloku sowieckim, nie zawracam sobie tym głowy. Mogą zerować trasę do ciebie, co spowoduje od niego ruch do zatrzymania.
Jacob
1
Niestety jest to całkowicie normalne, większość tych prób generowanych jest również przez inne zhakowane serwery.
Najlepsze, co możesz zrobić, to to, że jeśli widzisz te ataki uporczywie dochodzące z unikalnego adresu IP i podejrzewasz, że serwer został zaatakowany przez hakerów, wyślij e-mail do nadużycia / sysadminów na tym serwerze, aby mogli naprawić sytuację, dość łatwo jest stracić śledzenie serwera, gdy jesteś przeciążony i utrzymywanie setek z nich.
W każdym innym przypadku zapora ogniowa, filtrowanie lub ignorowanie jest zazwyczaj dobrą praktyką.
Problem polega na tym, że wiele z nich prawdopodobnie pochodzi z zainfekowanych maszyn w różnych krajach, które prawdopodobnie są komputerami domowymi użytkowników i prawdopodobnie korzystają ze schematów dynamicznego adresowania.
Co oznacza, że właściciele maszyn nie wiedzą, że przekazują ataki, i nie dbają o to, mogą znajdować się w krajach, w których prawo tak naprawdę nie obchodzi, a dostawcy Internetu prawdopodobnie nie dbają o to, a w każdym razie wygrywają nie chcę przeszukiwać dzienników, aby zobaczyć, kto używa tego adresu IP.
Najlepszy plan to kombinacja rysia, Jakuba i paczek - zazwyczaj blokuj je, ale skonfiguruj skrypt, aby sprawdzić, czy są powszechni sprawcy, a konkretnie wysyłaj swoje komunikaty do działów nadużyć tych dostawców usług internetowych.
Jest to atak polegający na odgadywaniu hasła, znany jako atak brutalnej siły. Najlepszą obroną jest upewnienie się, że hasła użytkowników są silne. Innym rozwiązaniem jest zablokowanie adresu IP za pomocą wielu nieudanych prób logowania. Ataki brutalną siłą są trudne do zatrzymania.
źródło
Jak powiedział Lynxman, wszystko, co naprawdę możesz zrobić, to skontaktować się z działem nadużyć dostawców usług internetowych i poinformować ich. Zablokowałbym to IP zarówno w Zaporze ogniowej, jak i na serwerze. Po drugie, ustawiłbym również blokadę opartą na próbach w zasadach grupy (jeśli masz AD). Tak długo, jak twoje hasła są silne, nie martwię się o to, mam Serwery, które uruchamiam, aby się uczyć i dostaję próby logowania przez cały dzień.
źródło
Niestety jest to całkowicie normalne, większość tych prób generowanych jest również przez inne zhakowane serwery.
Najlepsze, co możesz zrobić, to to, że jeśli widzisz te ataki uporczywie dochodzące z unikalnego adresu IP i podejrzewasz, że serwer został zaatakowany przez hakerów, wyślij e-mail do nadużycia / sysadminów na tym serwerze, aby mogli naprawić sytuację, dość łatwo jest stracić śledzenie serwera, gdy jesteś przeciążony i utrzymywanie setek z nich.
W każdym innym przypadku zapora ogniowa, filtrowanie lub ignorowanie jest zazwyczaj dobrą praktyką.
źródło
Problem polega na tym, że wiele z nich prawdopodobnie pochodzi z zainfekowanych maszyn w różnych krajach, które prawdopodobnie są komputerami domowymi użytkowników i prawdopodobnie korzystają ze schematów dynamicznego adresowania.
Co oznacza, że właściciele maszyn nie wiedzą, że przekazują ataki, i nie dbają o to, mogą znajdować się w krajach, w których prawo tak naprawdę nie obchodzi, a dostawcy Internetu prawdopodobnie nie dbają o to, a w każdym razie wygrywają nie chcę przeszukiwać dzienników, aby zobaczyć, kto używa tego adresu IP.
Najlepszy plan to kombinacja rysia, Jakuba i paczek - zazwyczaj blokuj je, ale skonfiguruj skrypt, aby sprawdzić, czy są powszechni sprawcy, a konkretnie wysyłaj swoje komunikaty do działów nadużyć tych dostawców usług internetowych.
W ten sposób lepiej wykorzystaj swój czas.
źródło