我正在运行一个小型(基于 Windows)服务器。当我检查日志时,我看到源源不断的(不成功的)密码猜测黑客攻击尝试。我是否应该尝试将这些尝试报告给源 IP 地址的所有者,或者这些尝试现在被认为是完全正常的,而且无论如何没有人会费心去处理它们?
答案1
虽然答案可能在很大程度上取决于你试图通知的机构,但我认为一般来说你应该这样做。事实上,由于监控和响应我们组织的滥用邮箱是我的主要工作职责之一,我可以肯定地说,“是的,请!”。我与其他安全组织的成员进行了同样的对话,答案似乎主要包括:
- 如果 IP 上的 whois 信息显示是企业或大学,则报告
- 如果 IP 上的 whois 信息显示是 ISP,那么就不要担心
我当然不会告诉你到遵守这些规则,但我建议在报告方面谨慎行事。这通常不需要太多努力,而且能真的帮助了另一端的人。他们的理由是,互联网服务提供商通常无法采取有意义的行动,因此他们会将信息归档。我可以说,我们将积极追查此事。我们不喜欢网络上有被黑客入侵的机器,因为它们有传播的趋势。
真正的诀窍是规范您的回复和报告程序,以便报告之间以及员工之间保持一致。我们至少希望做到以下几点:
- 攻击系统的 IP 地址
- 事件的时间戳(包括时区)
- 您这边系统的 IP 地址
如果您还可以包含向您提示的日志消息样本,那么这也会很有用。
通常,当我们看到这种行为时,我们还会在最合适的位置设置最合适范围的防火墙阻止。合适的定义将在很大程度上取决于正在发生的事情、您从事的业务类型以及您的基础设施状况。它可能包括从主机上阻止单个攻击 IP,一直到不在边界路由该 ASN。
答案2
这是一种密码猜测攻击,也称为暴力攻击。最好的防御方法是确保用户密码强。另一种解决方案是锁定多次登录失败的 IP 地址。暴力攻击很难阻止。
答案3
正如 lynxman 所说,您真正能做的就是联系他们的 ISP 滥用部门并通知他们。我会在防火墙和服务器上阻止该 IP。其次,我还会在组策略中设置基于尝试的锁定(如果您有 AD)。只要您的密码很强大,我就不用担心,我有我运行以学习的服务器,并且我整天都在尝试登录。
答案4
不幸的是,这是完全正常的,大多数此类尝试都是通过其他同样遭到黑客攻击的服务器产生的。
您能做的最好的事情是,如果您看到这些攻击持续来自一个唯一的 IP 地址,并且您怀疑服务器遭到了黑客攻击,请向该服务器的滥用者/系统管理员发送电子邮件,以便他们能够解决问题,当您超负荷并维护数百个服务器时,很容易失去对服务器的跟踪。
在任何其他情况下,防火墙、过滤或忽略通常都是很好的做法。