Devo reportar tentativas de hackers?

Embora a resposta possa depender muito da agência que você está tentando informar, acredito que, em geral, você deveria. Na verdade, como monitorar e responder à caixa de correio de abuso da nossa organização é um dos meus principais deveres de trabalho, posso dizer positivamente: "Sim, por favor!". Eu tive essa mesma conversa com membros de outras organizações de segurança e as respostas pareciam consistir em grande parte:

• Se as informações do whois no IP mostrarem uma empresa ou universidade, informe
• Se as informações do whois no IP mostrarem um ISP, não se incomode

Eu, é claro, não direi a você para seguir essas regras, mas eu recomendaria erros ao lado dos relatórios. Geralmente não é preciso muito esforço, e pode realmente ajudar os caras do outro lado. O raciocínio deles é que os provedores de serviços de Internet não estão frequentemente em posição de realizar ações significativas, de modo que arquivam as informações. Eu posso dizer que nós agressivamente buscaremos o assunto. Nós não gostamos de máquinas hackeadas em nossa rede, pois elas tendem a se espalhar.

O verdadeiro truque é formalizar sua resposta e o procedimento de relatório para que possa ser consistente entre os relatórios, bem como entre os funcionários. Queremos, no mínimo, o seguinte:

1. endereço IP do sistema atacante
2. Carimbo de data / hora (incluindo o fuso horário) do evento
3. Os endereços IP dos sistemas no seu final

Se você também puder incluir uma amostra das mensagens de log que o alertaram, isso também pode ser útil.

Normalmente, quando vemos esse tipo de comportamento, também instituímos blocos de firewall do escopo mais apropriado no local mais apropriado. As definições apropriadas dependerão significativamente do que está acontecendo, do tipo de negócio em que você está e da aparência da sua infraestrutura. Pode variar de bloquear o único IP de ataque no host, até o caminho para não rotear esse ASN na fronteira.

Este é um ataque de adivinhação de senha conhecido como ataque de força bruta. A melhor defesa é garantir que as senhas dos usuários sejam strongs. Outra solução é bloquear um endereço IP com vários logins com falha. Ataques de força bruta são difíceis de parar.

Como o lynxman disse, tudo o que você realmente pode fazer é entrar em contato com o departamento de abuso de seus ISPs e informá-los. Eu bloquearia esse IP tanto no Firewall quanto no servidor. Segundo, eu também configuraria o bloqueio baseado em tentativa na política de Grupo (se você tiver o AD). Contanto que suas senhas sejam strongs, eu não me preocuparia com isso, tenho servidores que eu corro para aprender e recebo tentativas de login o dia todo.

Infelizmente, é completamente normal, a maioria dessas tentativas são geradas por meio de outros servidores que também foram invadidos.

O melhor que você pode fazer é que, se vir esses ataques persistentemente vindos de um endereço IP exclusivo e suspeitar que o servidor foi hackeado, envie um e-mail ao abuso / administradores de sistema para que eles consertem a situação. fácil perder o controle de um servidor quando você está sobrecarregado e mantendo centenas deles.

Em qualquer outro caso, o firewall, filtragem ou ignorar é principalmente uma boa prática.

Seu problema aqui é que o grande número deles provavelmente virá de máquinas comprometidas, em vários países, que provavelmente são PCs de usuários domésticos e provavelmente estão em esquemas de endereçamento dinâmico.

O que significa que os proprietários das máquinas não sabem que estão encaminhando ataques, e não se importam, eles podem estar em países onde a lei realmente não se importa, e os ISPs provavelmente não se importam e em qualquer caso não vai querer rastrear logs para ver quem estava usando esse endereço IP.

O melhor plano é uma combinação de Lynxman, Jacob e Packs - geralmente bloqueá-los, mas configure um script para ver se há culpados comuns e, especificamente, envie seus comunicados para os departamentos de Abuso desses ISPs.

Melhor uso do seu tempo dessa maneira.