Devo segnalare i tentativi di hacking?

12

Sto eseguendo un piccolo server (basato su Windows). Quando controllo i registri, vedo un flusso costante di tentativi di hacking (non riusciti) di indovinare la password. Dovrei provare a segnalare questi tentativi ai proprietari degli indirizzi IP di origine, oppure questi tentativi oggi sono considerati del tutto normali e nessuno si preoccuperebbe di fare qualcosa al riguardo?

security  hacking  abuse 
Mormegil
fonte

Risposte:

15

Mentre la risposta può dipendere in larga misura dall'agenzia che stai tentando di informare, credo che in generale dovresti. In effetti, poiché il monitoraggio e la risposta alla cassetta postale sugli abusi per la nostra organizzazione è una delle mie principali mansioni lavorative, posso dire positivamente "Sì, per favore!". Ho avuto la stessa conversazione con membri di altre organizzazioni di sicurezza e le risposte sembravano consistere in gran parte di:

  • Se le informazioni whois sull'IP mostrano un'azienda o un'università, segnala
  • Se le informazioni whois sull'IP mostrano un ISP, non preoccuparti

Naturalmente, non ti dirò di seguire queste regole, ma consiglierei di sbagliare sul lato della segnalazione. Di solito non ci vuole molto sforzo e può davvero aiutare i ragazzi dall'altra parte. Il loro ragionamento era che gli ISP non sono spesso in grado di intraprendere azioni significative, quindi archiviano le informazioni. Posso dire che perseguiremo in modo aggressivo la questione. Non apprezziamo le macchine hackerate sulla nostra rete, poiché hanno la tendenza a diffondersi.

Il vero trucco è formalizzare la tua risposta e la procedura di segnalazione in modo che possa essere coerente tra i rapporti, così come tra il personale. Vogliamo almeno quanto segue:

  1. Indirizzo IP del sistema attaccante
  2. Timestamp (incluso il fuso orario) dell'evento
  3. Gli indirizzi IP dei sistemi dalla tua parte

Se puoi anche includere un campione dei messaggi di registro che ti hanno lasciato, questo può anche essere utile.

Normalmente, quando vediamo questo tipo di comportamento, istituiamo anche blocchi firewall dell'ambito più appropriato nella posizione più appropriata. Le definizioni di appropriate dipenderanno in modo significativo da ciò che sta accadendo, dal tipo di attività in cui ti trovi e dall'aspetto della tua infrastruttura. Può variare dal blocco del singolo IP di attacco sull'host, fino al non instradamento di tale ASN alla frontiera.

Scott Pack
fonte
Grazie - buono a sapersi. Esistono strumenti di semplice implementazione per automatizzare tali report? Identificare i tipi di abuso che sono utili per segnalare, trovare a chi segnalare, comprese le informazioni utili, gestire i rapporti che vengono rimbalzati, ecc.?
nealmcb,
@Nealmcb - ci sono divertenti e costosi sistemi IDS che possono riassumere tutto questo. Ho visto Cisco MARS farlo. Non so se ci sono opzioni economiche / gratuite che lo rendono facile, ma se il tuo set di registri è piccolo, puoi probabilmente scrivere un logscraper per presentarti un rapporto facile da usare.
mfinni,
2

Questo è un attacco per indovinare la password noto come attacco di forza bruta. La miglior difesa è assicurarsi che le password degli utenti siano forti. Un'altra soluzione è quella di bloccare un indirizzo IP con più accessi non riusciti. Gli attacchi di forza bruta sono difficili da fermare.

alvosu
fonte
2

Come ha detto lynxman, tutto ciò che puoi veramente fare è contattare il loro dipartimento Abusi ISP e informarli. Vorrei bloccare quell'IP sia nel Firewall che sul server. In secondo luogo vorrei anche impostare il blocco basato sui tentativi in ​​Criteri di gruppo (se si dispone di AD). Finché le tue password sono sicure, non me ne preoccupo, ho server che eseguo per apprendere e ricevo tentativi di accesso per tutto il giorno.

Giacobbe
fonte
Contattare i loro ISP è ciò che intendevo (non è successo niente di importante, l'attacco non è andato a buon fine, quindi contattare l'ISP è tutto ciò che potrei desiderare di fare) - dovrei farlo o è una perdita di tempo?
Mormegil,
@mormegil Dipende di solito, ma se è in Russia o in un paese nel vecchio blocco sovietico non mi preoccupo. Possono annullare il percorso verso di te, che otterrà il traffico da lui a te per fermarsi.
Jacob,
1

Sfortunatamente è del tutto normale, molti di questi tentativi sono generati anche da altri server che sono stati hackerati.

La cosa migliore che puoi fare è che se vedi che questi attacchi provengono in modo persistente da un indirizzo IP univoco e hai il sospetto che il server sia stato violato è di inviare per e-mail gli abusi / amministratori di sistema su quel server in modo che possano risolvere la situazione, è abbastanza facile perdere traccia di un server in caso di sovraccarico e mantenimento di centinaia di essi.

In ogni caso, il firewalling, il filtraggio o l'ignoranza sono per lo più una buona pratica.

lynxman
fonte
1

Il tuo problema qui è che il gran numero di questi probabilmente provengono da macchine compromesse, in vari paesi, che sono probabilmente i PC degli utenti domestici e sono probabilmente su schemi di indirizzamento dinamico.

Ciò significa che i proprietari delle macchine non sanno che stanno inoltrando attacchi e che non si preoccupano, potrebbero trovarsi in paesi in cui la legge non si interessa davvero e agli ISP probabilmente non importa e in ogni caso hanno vinto non voglio trawl i log per vedere chi stava usando quell'indirizzo IP.

Il miglior piano è una combinazione di lynxman, Jacob e branchi - generalmente li blocca, ma imposta uno script per vedere se ci sono colpevoli comuni e invia specificamente le tue comunicazioni ai dipartimenti Abuse di quei ISP.

Un migliore utilizzo del tuo tempo in questo modo.

Rory Alsop
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.