Saya menjalankan server kecil (berbasis Windows). Ketika saya memeriksa log, saya melihat aliran yang stabil dari upaya peretasan tebak kata sandi (tidak berhasil). Haruskah saya mencoba melaporkan upaya-upaya itu kepada pemilik alamat IP sumber, atau apakah upaya-upaya ini saat ini dianggap sepenuhnya normal dan tidak ada yang mau repot-repot melakukan sesuatu tentang hal itu?
Sementara jawabannya dapat sangat bergantung pada agensi yang ingin Anda informasikan, saya percaya bahwa secara umum Anda harus memberi tahu. Bahkan, karena memantau dan merespons kotak surat penyalahgunaan untuk organisasi kami adalah salah satu tugas utama saya, saya dapat dengan positif mengatakan, 'Ya, Tolong!'. Saya melakukan percakapan yang sama dengan anggota organisasi keamanan lainnya dan jawabannya sebagian besar terdiri dari:
Jika informasi whois pada IP menunjukkan bisnis atau universitas, maka laporkan
Jika informasi whois pada IP menunjukkan ISP, maka jangan repot-repot
Saya, tentu saja, tidak akan meminta Anda untuk mengikuti aturan itu, tetapi saya akan merekomendasikan kesalahan di sisi pelaporan. Biasanya tidak butuh banyak usaha, dan benar - benar dapat membantu orang-orang di ujung sana. Alasan mereka adalah bahwa ISP tidak sering berada dalam posisi untuk mengambil tindakan yang berarti, sehingga mereka akan menyimpan informasi tersebut. Saya dapat mengatakan bahwa kami akan secara agresif mengejar masalah ini. Kami tidak menghargai mesin yang diretas di jaringan kami, karena mereka cenderung menyebar.
Trik sebenarnya adalah memformalkan respons Anda dan prosedur pelaporan sehingga dapat konsisten di antara laporan, dan juga antara staf. Kami ingin, minimal, yang berikut:
Alamat IP sistem serangan
Cap waktu (termasuk zona waktu) acara
Alamat IP sistem di pihak Anda
Jika Anda juga bisa memasukkan contoh pesan log yang memberi tahu Anda, itu juga bisa berguna.
Biasanya, ketika kita melihat perilaku semacam ini, kita juga membuat blok firewall dari ruang lingkup yang paling tepat di lokasi yang paling tepat. Definisi yang sesuai akan sangat tergantung pada apa yang terjadi, seperti apa bisnis Anda, dan seperti apa infrastruktur Anda. Mulai dari memblokir IP serangan tunggal di tuan rumah, sampai tidak merute ASN di perbatasan.
Terima kasih - senang tahu. Apakah ada alat yang mudah digunakan untuk membantu mengotomatiskan laporan tersebut? Mengidentifikasi jenis-jenis pelecehan yang berguna untuk dilaporkan, menemukan siapa yang harus dilaporkan, termasuk informasi bermanfaat, berurusan dengan laporan yang terpental, dll?
nealmcb
@Nealmcb - ada sistem IDS menyenangkan yang bisa meringkas semua ini. Saya telah melihat Cisco MARS melakukannya. Saya tidak tahu apakah ada opsi murah / gratis yang membuat ini mudah, tetapi jika set log Anda kecil, Anda mungkin dapat menulis logscraper untuk memberi Anda laporan yang mudah digunakan.
mfinni
2
Ini adalah serangan tebak kata sandi yang dikenal sebagai serangan brute force. Pertahanan terbaik adalah memastikan bahwa kata sandi pengguna kuat. Lain, solusinya adalah mengunci alamat IP dengan beberapa login gagal. Serangan brute force sulit dihentikan.
Seperti yang dikatakan oleh lynxman, yang benar-benar dapat Anda lakukan adalah menghubungi departemen Penyalahgunaan ISP mereka dan memberi tahu mereka. Saya akan memblokir IP itu di Firewall dan di server. Kedua saya juga akan mengatur upaya berdasarkan lockout dalam kebijakan Grup (jika Anda memiliki AD). Selama kata sandi Anda kuat, saya tidak akan khawatir tentang hal itu, saya memiliki Server yang saya jalankan untuk belajar dan saya mendapatkan upaya login sepanjang hari.
Menghubungi ISP mereka adalah apa yang saya maksudkan (tidak ada yang penting terjadi, serangan itu tidak berhasil, oleh karena itu menghubungi ISP adalah yang mungkin ingin saya lakukan) - haruskah saya melakukannya, atau hanya membuang-buang waktu?
Mormegil
@ mormegil Itu tergantung biasanya saya lakukan tetapi jika di rusia atau negara di blok soviet lama saya tidak repot-repot. Mereka dapat membatalkan rute ke Anda yang akan menghentikan lalu lintas darinya.
Yakub
1
Sayangnya itu benar-benar normal, sebagian besar upaya ini dihasilkan melalui server lain yang telah diretas juga.
Yang terbaik yang dapat Anda lakukan adalah bahwa jika Anda melihat serangan-serangan ini datang terus-menerus dari alamat IP yang unik dan Anda curiga bahwa server diretas adalah untuk mengirim email penyalahgunaan / sysadmin di server itu sehingga mereka dapat memperbaiki situasi, cukup mudah kehilangannya melacak server saat Anda kelebihan beban dan mempertahankan ratusan server.
Dalam kasus lain, firewall, memfilter atau mengabaikan sebagian besar merupakan praktik yang baik.
Masalah Anda di sini adalah bahwa sejumlah besar ini kemungkinan berasal dari mesin yang dikompromikan, di berbagai negara, yang mungkin PC pengguna rumahan dan mungkin pada skema pengalamatan dinamis.
Yang berarti bahwa pemilik mesin tidak tahu bahwa mereka sedang meneruskan serangan, dan tidak peduli, mereka mungkin berada di negara-negara di mana undang-undang itu benar-benar tidak peduli, dan ISP mungkin tidak peduli dan dalam kasus apa pun menang. tidak ingin menjaring log untuk melihat siapa yang menggunakan alamat IP itu.
Paket terbaik adalah kombinasi dari lynxman, Jacob's and packs '- umumnya memblokir mereka, tetapi membuat skrip untuk melihat apakah ada penyebab umum dan secara khusus mengirim comm Anda ke departemen Penyalahgunaan ISP tersebut.
Ini adalah serangan tebak kata sandi yang dikenal sebagai serangan brute force. Pertahanan terbaik adalah memastikan bahwa kata sandi pengguna kuat. Lain, solusinya adalah mengunci alamat IP dengan beberapa login gagal. Serangan brute force sulit dihentikan.
sumber
Seperti yang dikatakan oleh lynxman, yang benar-benar dapat Anda lakukan adalah menghubungi departemen Penyalahgunaan ISP mereka dan memberi tahu mereka. Saya akan memblokir IP itu di Firewall dan di server. Kedua saya juga akan mengatur upaya berdasarkan lockout dalam kebijakan Grup (jika Anda memiliki AD). Selama kata sandi Anda kuat, saya tidak akan khawatir tentang hal itu, saya memiliki Server yang saya jalankan untuk belajar dan saya mendapatkan upaya login sepanjang hari.
sumber
Sayangnya itu benar-benar normal, sebagian besar upaya ini dihasilkan melalui server lain yang telah diretas juga.
Yang terbaik yang dapat Anda lakukan adalah bahwa jika Anda melihat serangan-serangan ini datang terus-menerus dari alamat IP yang unik dan Anda curiga bahwa server diretas adalah untuk mengirim email penyalahgunaan / sysadmin di server itu sehingga mereka dapat memperbaiki situasi, cukup mudah kehilangannya melacak server saat Anda kelebihan beban dan mempertahankan ratusan server.
Dalam kasus lain, firewall, memfilter atau mengabaikan sebagian besar merupakan praktik yang baik.
sumber
Masalah Anda di sini adalah bahwa sejumlah besar ini kemungkinan berasal dari mesin yang dikompromikan, di berbagai negara, yang mungkin PC pengguna rumahan dan mungkin pada skema pengalamatan dinamis.
Yang berarti bahwa pemilik mesin tidak tahu bahwa mereka sedang meneruskan serangan, dan tidak peduli, mereka mungkin berada di negara-negara di mana undang-undang itu benar-benar tidak peduli, dan ISP mungkin tidak peduli dan dalam kasus apa pun menang. tidak ingin menjaring log untuk melihat siapa yang menggunakan alamat IP itu.
Paket terbaik adalah kombinasi dari lynxman, Jacob's and packs '- umumnya memblokir mereka, tetapi membuat skrip untuk melihat apakah ada penyebab umum dan secara khusus mengirim comm Anda ke departemen Penyalahgunaan ISP tersebut.
Lebih baik gunakan waktu Anda seperti itu.
sumber