ฉันใช้งานเซิร์ฟเวอร์ขนาดเล็ก (ที่ใช้ Windows) เมื่อฉันตรวจสอบบันทึกฉันเห็นกระแสการแฮ็ครหัสผ่านที่คาดเดาไม่ได้ ฉันควรพยายามรายงานความพยายามเหล่านั้นต่อเจ้าของที่อยู่ IP ต้นทางหรือในปัจจุบันความพยายามเหล่านี้ถือว่าเป็นเรื่องปกติอย่างสมบูรณ์และไม่มีใครสนใจจะทำอะไรเกี่ยวกับพวกเขาใช่ไหม
คำตอบ:
แม้ว่าคำตอบอาจขึ้นอยู่กับหน่วยงานที่คุณพยายามแจ้งให้ทราบ แต่ฉันเชื่อว่าโดยทั่วไปคุณควร อันที่จริงแล้วเนื่องจากการตรวจสอบและตอบสนองต่อกล่องจดหมายการละเมิดสำหรับองค์กรของเราเป็นหน้าที่หลักอย่างหนึ่งของฉันฉันจึงสามารถพูดได้ว่า 'ใช่ได้โปรด!' ฉันมีการสนทนาเดียวกันนี้กับสมาชิกขององค์กรรักษาความปลอดภัยอื่น ๆ และคำตอบที่ดูเหมือนจะประกอบด้วย:
ผมของหลักสูตรจะไม่บอกคุณที่จะปฏิบัติตามกฎเหล่านั้น แต่ฉันจะแนะนำหลงผิดในด้านของการรายงาน ปกติแล้วจะไม่ใช้ความพยายามมากนักและสามารถช่วยเหลือคนอื่น ๆ ได้ เหตุผลของพวกเขาคือผู้ให้บริการอินเทอร์เน็ตไม่ได้อยู่ในสถานะที่จะทำการกระทำที่มีความหมายบ่อยนักดังนั้นพวกเขาจะจัดเก็บข้อมูล ฉันสามารถพูดได้ว่าเราจะติดตามเรื่องนี้อย่างจริงจัง เราไม่เห็นคุณค่าเครื่องที่แฮ็กในเครือข่ายของเราเนื่องจากมีแนวโน้มแพร่กระจาย
เคล็ดลับที่แท้จริงคือการทำให้การตอบสนองและขั้นตอนการรายงานของคุณเป็นทางการเพื่อให้สอดคล้องกันระหว่างรายงานและระหว่างพนักงาน เราต้องการอย่างน้อยที่สุดดังต่อไปนี้:
หากคุณยังสามารถใส่ตัวอย่างของข้อความบันทึกการทำงานที่เป็นประโยชน์กับคุณได้เช่นกัน
โดยปกติเมื่อเราเห็นพฤติกรรมเช่นนี้เราก็จะทำการบล็อกไฟร์วอลล์ในขอบเขตที่เหมาะสมที่สุดในตำแหน่งที่เหมาะสมที่สุด คำจำกัดความของความเหมาะสมนั้นขึ้นอยู่กับว่าเกิดอะไรขึ้นธุรกิจประเภทไหนของคุณและโครงสร้างพื้นฐานของคุณเป็นอย่างไร อาจมีตั้งแต่การบล็อก IP ที่โจมตีเพียงครั้งเดียวที่โฮสต์ตลอดจนไม่กำหนดเส้นทาง ASN ที่ชายแดน
นี่เป็นการโจมตีด้วยการเดารหัสผ่านที่รู้จักกันในชื่อการโจมตีแบบดุร้าย การป้องกันที่ดีที่สุดคือการทำให้แน่ใจว่ารหัสผ่านของผู้ใช้นั้นแข็งแกร่ง อีกวิธีหนึ่งคือล็อคที่อยู่ IP ที่มีการเข้าสู่ระบบล้มเหลวหลายครั้ง การโจมตีด้วยกำลังดุร้ายนั้นยากที่จะหยุด
ตามที่ lynxman กล่าวว่าสิ่งที่คุณทำได้จริงๆคือติดต่อแผนกการละเมิดของ ISP และแจ้งให้พวกเขาทราบ ฉันจะบล็อก IP นั้นทั้งในไฟร์วอลล์และบนเซิร์ฟเวอร์ สองฉันจะตั้งค่าความพยายามตามการล็อคในนโยบายกลุ่ม (หากคุณมีโฆษณา) ตราบใดที่รหัสผ่านของคุณแข็งแกร่งฉันก็ไม่ต้องกังวลเลยฉันมีเซิร์ฟเวอร์ที่ฉันใช้เพื่อเรียนรู้และฉันจะพยายามเข้าสู่ระบบตลอดทั้งวัน
น่าเสียดายที่มันเป็นเรื่องปกติอย่างสมบูรณ์ความพยายามส่วนใหญ่เกิดขึ้นจากเซิร์ฟเวอร์อื่น ๆ ที่ถูกแฮ็กด้วยเช่นกัน
วิธีที่ดีที่สุดที่คุณสามารถทำได้คือถ้าคุณเห็นการโจมตีเหล่านี้อย่างต่อเนื่องจากที่อยู่ IP ที่ไม่ซ้ำกันและคุณสงสัยว่าเซิร์ฟเวอร์ที่ถูกแฮ็กคือการส่งอีเมลการละเมิด / sysadmins ที่เซิร์ฟเวอร์นั้นเพื่อให้พวกเขาสามารถแก้ไขสถานการณ์ได้ ติดตามเซิร์ฟเวอร์เมื่อคุณโอเวอร์โหลดและดูแลรักษาเซิร์ฟเวอร์หลายร้อยรายการ
ในกรณีอื่น ๆ การไฟร์วอลล์การกรองหรือการเพิกเฉยเป็นวิธีปฏิบัติที่ดีเป็นส่วนใหญ่
ปัญหาของคุณที่นี่คือจำนวนมากเหล่านี้มีแนวโน้มที่จะมาจากเครื่องที่ถูกบุกรุกในประเทศต่าง ๆ ซึ่งอาจเป็นพีซีของผู้ใช้ตามบ้านและอาจอยู่ในรูปแบบการกำหนดแอดเดรสแบบไดนามิก
ซึ่งหมายความว่าเจ้าของเครื่องจักรไม่ทราบว่ามีการส่งต่อการโจมตีและไม่สนใจพวกเขาอาจอยู่ในประเทศที่กฎหมายไม่สนใจจริง ๆ และผู้ให้บริการอินเทอร์เน็ตอาจไม่สนใจและไม่ว่าในกรณีใดก็ตาม ไม่ต้องการสืบค้นไฟล์บันทึกเพื่อดูว่าใครกำลังใช้ที่อยู่ IP นั้น
แผนการที่ดีที่สุดคือการรวมกันของ lynxman, Jacob's และ packs '- โดยทั่วไปบล็อกพวกเขา แต่ตั้งค่าสคริปต์เพื่อดูว่ามีผู้ร้ายทั่วไปหรือไม่และส่ง comms ของคุณไปยังแผนกละเมิดของ ISP เหล่านั้นโดยเฉพาะ
ใช้เวลาของคุณให้ดีกว่านี้