Resposta apropriada a uma tentativa anônima de hackear meus servidores

A resposta apropriada depende de muitas coisas.

Primeiro, é importante perceber que a grande maioria dos ataques contra servidores não é realizada diretamente por um "hacker" mal-intencionado, mas por uma máquina comprometida. Sua resposta deve ser usar as informações de DNS whois sobre a fonte para informar aos proprietários desse IP que há ataques vindos de sua rede. Provavelmente, eles têm uma máquina comprometida ou um usuário mal-intencionado e ambos cuidam internamente.

Em segundo lugar, analise os ataques e garanta que você tomou as medidas apropriadas para protegê-los.

Você deve ser novo na segurança de rede.

Eu não consigo nem contar o número de vezes que nossos servidores recebem tentativas de hackers por dia. É basicamente uma parte normal do tráfego de entrada na internet nos dias de hoje. Não apenas você pode esperar que esse tráfego venha de computadores domésticos comprometidos, mas você pode esperar que redes inteiras deles trabalhem em conjunto como o SETI @ Home, exceto os maiores e de forma involuntária.

Eu diria que a grande maioria desses "botnets" é usada para enviar spam e executar golpes, cujo volume é totalmente esmagador.

A resposta apropriada é ter certeza de que você não está vulnerável (o que é mais do que provável se você realmente puder detectar os ataques), e se possível, restringir o acesso a apenas alguns IPs das pessoas que podem ter acesso em primeiro lugar.

Is it a case of look at what they were attempting and make sure we're covered against it and similar attacks?

Sim, certamente faça isso.

Se você optar por denunciar essas tentativas malsucedidas, realmente depende de quanto tempo você tem em mãos. A convenção aceita é que os operadores de rede operem um endereço abuse@ em seu domínio e detalhem isso, além de qualquer informação procedural, dentro da entrada inetnum de seus RIRs para qualquer faixa de endereços da qual sejam responsáveis.

Você pode recuperar essas informações do RIR relevante executando um whois contra o possível endereço IP do invasor. Não confie no DNS reverso do IP porque ele pode ser facilmente falsificado para um domínio ou nome de host não relacionado.

A realidade é que a maioria das tentativas será gerada por utilitários distribuídos e automatizados operando a partir de redes que simplesmente não acompanharão os relatórios de abuso. Se você estiver se sentindo particularmente vigilante, poderá enviar relatórios. Mas as chances são de que, a menos que o IP resolva para uma organização bem conhecida, seu tempo seria melhor gasto se protegendo.

Sua resposta depende muito do vetor que eles estavam usando. Por exemplo, eu tinha uma VM na Rackspace Cloud que estava sendo constantemente atingida por tentativas de SSH. Então, adicionei algumas regras do IPTables para permitir apenas o SSH dos meus IP's. Agora, se o vetor fosse web que você quer que todos vissem, obviamente, restringir isso não seria a resposta.

encontre o endereço de e-mail Abuse relacionado a esse ip e envie um e-mail avisando que há ataques. fornecer logs. você pode usar 'whois' para obter informações sobre um ip / domínio

Você precisa auditar qualquer alteração em seus arquivos, auditar seu código, garantir a limpeza de quaisquer entradas. você pode limitar os riscos executando seu servidor http chrooted / jailed ou / e use um IDS conectado a uma porta de monitor do seu switch.