Vale a pena bloquear os endereços IP dos hackers?

Depende, novamente.

Se você bloquear o IP, não será difícil apenas alterar o IP.

Se você bloquear o intervalo, receberá muitos danos colaterais de pessoas que não podem entrar, mas são inocentes. Não impede que muitas pessoas ainda bloqueiem intervalos de país de IP.

Se você tem um número selecionado de clientes que estão acessando o site em questão ... é um banco de dados semi-privado, apenas para assinantes, etc ... você pode bloquear o acesso a todas as listas de permissões aceitas. apenas parte do site.

Caso contrário, você precisaria se manter atualizado, atualizado, atualizado e periodicamente ter seu código auditado por contratados externos para ataques de injeção e outros perigos, e provavelmente ter algo como o Tripwire instalado no servidor para observar mudanças suspeitas e alterações no servidor (e manter bons backups offline. Mais do que alguns sites tiveram backups "ao vivo" que de repente são hackeados ou apagados assim que a entrada é obtida na rede).

Na minha experiência, bloquear sites específicos e hackear tentativas é confuso e não necessariamente para o problema. Se for um hit repetido, você pode olhar para uma solução que vê problemas no seu site e bloqueá-lo automaticamente por algum tempo (como o denyhosts para o SSH), então é meio transitório, "já chega" blocos que não entulham seu sistema para sempre. É muito fácil para ataques com script acertarem a partir da esquerda um dia e depois aparecerem à direita na próxima, e você acabará correndo em círculos correndo atrás de sua cauda tentando parar esses idiotas.

Certifique-se de que seu servidor esteja protegido de sua LAN, segmentado para impedir que um invasor do sistema contamine o restante de sua rede. Auditoria. Assista os registros de atividades suspeitas. Bloqueie apenas realmente IPs problemáticos (como ataques de negação de serviço) no roteador. Caso contrário ... meu voto é que é um incômodo impedi-los, a menos que você tenha alguma maneira automatizada de rastreá-lo e uma maneira de removê-lo automaticamente após um período de tempo.

Se aparecer para não ser bot, você pode tirar proveito disso. Você poderia configurar outro servidor com dados fictícios, redirecionar para aquele baseado no IP de origem e observá-los. As empresas pagam pelos testes de penetração, como Bart disse com "Code Audits". Então, se o hacker conseguir passar, você pode enviá-lo para os desenvolvedores, e você acabou de receber o trabalho gratuito do hacker: -)

Nunca fiz isso sozinho, mas se você tiver tempo / recursos, pode ser divertido ...

Muitas das soluções alternativas dadas acima para proteger e monitorar seus servidores seriam uma melhor utilização do tempo do que simples proibições, especialmente para IPs da China. Todas as principais telecomunicações (há essencialmente duas, mas eu discordo) oferecem serviço de banda larga com IPs dinâmicos para praticamente todos os lares e pequenas e médias empresas. Desconectar e reconectar um roteador é tudo o que é necessário para mudar para um IP que não esteja bloqueado.

Além disso, em um país com uma política tão restritiva na Internet, você pode ter certeza de que qualquer pessoa experiente o suficiente para tentar atacar ou hackear um servidor está familiarizada com o uso de proxies e outros métodos de uso. tunelamento ou relés, e dificilmente seriam afetados por uma simples proibição de IP, mesmo se estivessem operando a partir de um IP estático.

Além disso, tendo vivido na China nos últimos X anos, é realmente irritante tentar carregar uma página e ser informado de que o IP foi bloqueado por abuso porque algum idiota que tinha o IP anteriormente não tinha nada melhor façam. Bloquear intervalos IP inteiros sem um motivo de backup strong sempre pareceu um pouco extremo para mim.

Eu não bloquearia os IPs manualmente. No entanto, posso configurar um script fail2ban para bloquear de forma programável os IPs do usuário por um curto período de tempo, com base nos logs do apache (suponho que você esteja usando o linux. Substitua seu sistema operacional e script de escolha). Não é perfeita segurança. Isso só torna a vida um pouco mais difícil para os caras maus, com pouco custo para você mesmo.

Acho que é uma boa prática auditar regularmente seus registros. Algumas pessoas nem fazem isso.

Concordo com todos os conselhos aqui. Bloquear o IP provavelmente não atrapalharia, mas você não pode realmente bloquear TODOS os IPs que algum bot tenta conectar ... Eu tentei isso. Eu suponho que se não é um bot, então bloqueá-lo. Talvez isso envie uma mensagem. Você não pode realmente ter certeza de quais recursos estão do outro lado.

Eu diria que preste muita atenção aos seus registros (obviamente). Certifique-se de que sua máquina esteja atualizada. Além disso, verifique se você tem um backup no caso de algo horrível acontecer.

Minha opinião pessoal? Bloqueio não ajudará!

Não, se um hacker tentou hackear seu site, verifique se ele conseguiu seu ataque. Tente repetir o ataque dele, se possível. E se ele foi bem sucedido, você deve corrigir o vazamento no seu servidor, e não bloquear o hacker. Para ser honesto, as tentativas de invasão podem ser úteis para o seu site para mostrar como ele é seguro. Se você for hackeado, sua segurança não será boa o suficiente e você deve culpar sua própria equipe técnica, não o hacker que atacou você.

Você não impedirá que hackers bloqueiem o endereço IP deles. Mais cedo ou mais tarde você acaba bloqueando metade da Internet ...

Minha política é que, se a fonte está causando problemas de desempenho ou conseguiu encontrar um buraco (hospedar sites de má qualidade de outras pessoas tem suas desvantagens), ela é bloqueada; / p>     

Aqui estão algumas diretrizes:

Você deve manter seus servidores voltados para a Internet atualizados, auditar seus scripts, usar zonas de segurança, cadeias, chroots, quando aplicável, usar algo como um projeto para auditar alterações e talvez um IDS em uma porta de abrangência (é necessário você deve fazer uma boa correlação do que está acontecendo lá, pois um invasor pode inundar seu IDS ocultando o ataque real.

Bloquear apenas um ip pode ser apenas um desperdício de tempo em um cenário de ataque real.

Espero que isso ajude.

Se o banimento permanente é o que você quer fazer, então você pode adotar uma estratégia diferente para bloquear permanentemente um endereço IP, olhando para o seu log de autenticação usando %código% para ver quem está tentando acessar seu ssh. É fácil ver se alguém está tentando usar a força bruta, como você pode ver, eles tentarão usar alguns nomes de usuários comumente usados e tentarão se conectar ao seu ssh repetidamente. Se alguém está tentando fazer isso, no mínimo, eles certamente não estão indo bem e você pode ir em frente e bani-los. Isso é o que fazemos nos nossos servidores.

Não bloqueie endereços IP inteiros de outro país, apenas porque eles são de outro país e você não se importa muito. Isso é potencialmente racista. No mínimo, não está de acordo com a comunidade global aberta e baseada em pares que é a Internet.

A melhor coisa a fazer é:

• Bloqueie-os temporariamente

• Descubra quem é responsável por abuso nessa rede com:

  whois the.abusers.ip.addr | grep -i abuse
  

• Envie um e-mail para eles, deixando claro que você espera que isso seja resolvido rapidamente, ou você vai levá-lo para o seu provedor, um nível acima. Acrescente que você estará bloqueando sua alocação INTEGRAMENTE DE RISCO também, se você possui uma rede / clientes grandes / importantes o suficiente para que isso seja um obstáculo.

  • Supondo que seja resolvido, agradeça aos caras do OrgAbuseEmail e remova o bloco. Caso contrário, implemente a ameaça, relate o ip / network para filtros de spam, etc.

O bloqueio de IPs funciona. Sim, os IPs podem ser falsificados ou podem obter uma VPN, mas essa não é a realidade. Os hackers que podem falsificar um IP e receber uma resposta ou podem usar várias VPNs não se importam com seu site.

A grande maioria das tentativas de invasão vem de perdedores que nem sabem o que fazer quando passam. A melhor maneira de pará-los é bloquear intervalos inteiros (use ferramentas whois de IP on-line) e às vezes países inteiros. É fácil e funciona.