Soll ich Hacking-Versuche melden?

12

Ich verwende einen kleinen (Windows-basierten) Server. Wenn ich die Protokolle überprüfe, sehe ich einen stetigen Fluss von (nicht erfolgreichen) Hacking-Versuchen zum Erraten von Passwörtern. Sollte ich versuchen, diese Versuche den Eigentümern der Quell-IP-Adressen zu melden, oder werden diese Versuche heutzutage als völlig normal angesehen und niemand würde sich die Mühe machen, etwas dagegen zu unternehmen?

Mormegil
quelle

Antworten:

15

Obwohl die Antwort stark von der Agentur abhängen kann, die Sie informieren möchten, glaube ich, dass Sie dies im Allgemeinen tun sollten. Da die Überwachung und Beantwortung des Missbrauchspostfachs für unsere Organisation eine meiner Hauptaufgaben ist, kann ich positiv sagen: "Ja, bitte!". Ich hatte das gleiche Gespräch mit Mitgliedern anderer Sicherheitsorganisationen und die Antworten schienen größtenteils zu bestehen aus:

  • Wenn die whois-Informationen auf dem IP ein Unternehmen oder eine Universität anzeigen, melden Sie dies
  • Wenn die whois-Informationen auf der IP einen ISP anzeigen, stören Sie nicht

Ich, natürlich, wird Ihnen sagen, nicht auf diesen Regeln zu folgen, aber ich würde empfehlen , auf der Seite des Berichts verirrte. Es ist normalerweise nicht sehr anstrengend und kann den Jungs am anderen Ende wirklich helfen. Ihre Argumentation war, dass ISPs nicht oft in der Lage sind, sinnvolle Maßnahmen zu ergreifen, sodass sie die Informationen ablegen. Ich kann sagen, dass wir die Angelegenheit aggressiv verfolgen werden. Wir schätzen gehackte Maschinen in unserem Netzwerk nicht, da sie dazu neigen, sich zu verbreiten.

Der eigentliche Trick besteht darin, Ihr Antwort- und Berichtsverfahren so zu formalisieren, dass es sowohl zwischen Berichten als auch zwischen Mitarbeitern konsistent ist. Wir wollen mindestens Folgendes:

  1. IP-Adresse des angreifenden Systems
  2. Zeitstempel (einschließlich Zeitzone) des Ereignisses
  3. Die IP-Adressen der Systeme auf Ihrer Seite

Wenn Sie auch ein Beispiel der Protokollnachrichten einfügen können, die Sie darauf hingewiesen haben, kann dies ebenfalls hilfreich sein.

Wenn wir diese Art von Verhalten beobachten, richten wir normalerweise auch Firewall-Blöcke mit dem am besten geeigneten Bereich am am besten geeigneten Ort ein. Die Definitionen von "angemessen" hängen maßgeblich davon ab, was gerade passiert, in welcher Art von Geschäft Sie tätig sind und wie Ihre Infrastruktur aussieht. Dies kann von der Blockierung der einzelnen angreifenden IP auf dem Host bis hin zur Nichtweiterleitung dieses Lieferavis an der Grenze reichen.

Scott Pack
quelle
Danke - gut zu wissen. Gibt es einfach zu implementierende Tools zur Automatisierung solcher Berichte? Identifizieren der Arten von Missbrauch, die für die Meldung nützlich sind, Ermittlung der zu meldenden Personen, einschließlich der nützlichen Informationen, Umgang mit Berichten, die zurückgeschickt werden usw.?
Nealmcb
@Nealmcb - es gibt lustige, teure IDS-Systeme, die all dies zusammenfassen können. Ich habe Cisco MARS dabei gesehen. Ich weiß nicht, ob es billige / kostenlose Optionen gibt, die dies einfach machen, aber wenn Ihre Protokolle klein sind, können Sie wahrscheinlich einen Protokollschaber schreiben, um Ihnen einen benutzerfreundlichen Bericht zu präsentieren.
Mfinni
2

Dies ist ein Angriff zum Erraten von Passwörtern, der als Brute-Force-Angriff bezeichnet wird. Die beste Verteidigung besteht darin, sicherzustellen, dass die Passwörter der Benutzer sicher sind. Eine andere Lösung besteht darin, eine IP-Adresse mit mehreren fehlgeschlagenen Anmeldungen zu sperren. Brute-Force-Angriffe sind schwer zu stoppen.

alvosu
quelle
2

Wie Lynxman sagte, können Sie sich nur an die Missbrauchsabteilung der ISPs wenden und sie informieren. Ich würde diese IP sowohl in der Firewall als auch auf dem Server blockieren. Zweitens würde ich auch eine versuchsbasierte Sperre in der Gruppenrichtlinie einrichten (wenn Sie AD haben). Solange Ihre Passwörter sicher sind, würde ich mir darüber keine Sorgen machen. Ich habe Server, die ich zum Lernen laufen lasse, und ich bekomme den ganzen Tag Anmeldeversuche.

Jakob
quelle
Die Kontaktaufnahme mit ihren ISPs ist das, was ich meinte (nichts Wichtiges ist passiert, der Angriff war nicht erfolgreich, daher ist die Kontaktaufnahme mit dem ISP alles, was ich tun möchte) - sollte ich es tun oder ist es Zeitverschwendung?
Mormegil
@mormegil Es kommt darauf an, was ich normalerweise mache, aber wenn es in Russland oder einem Land im alten Sowjetblock ist, störe ich nicht. Sie können die Route zu Ihnen auf Null setzen, wodurch der Verkehr von ihm zu Ihnen geleitet wird.
Jacob
1

Leider ist es völlig normal, dass die meisten dieser Versuche über andere Server generiert werden, die ebenfalls gehackt wurden.

Das Beste, was Sie tun können, ist, dass es ziemlich leicht zu verlieren ist, wenn Sie sehen, dass diese Angriffe dauerhaft von einer eindeutigen IP-Adresse ausgehen und Sie den Verdacht haben, dass der Server gehackt wurde, den Missbrauch / die Systemadministratoren auf diesem Server per E-Mail zu senden, damit sie die Situation beheben können Verfolgen Sie einen Server, wenn Sie überlastet sind, und warten Sie Hunderte davon.

In jedem anderen Fall ist Firewalling, Filtern oder Ignorieren meistens eine gute Praxis.

Luchsmann
quelle
1

Ihr Problem hierbei ist, dass die große Anzahl davon wahrscheinlich von kompromittierten Maschinen in verschiedenen Ländern stammt, bei denen es sich wahrscheinlich um PCs von Heimanwendern handelt und die sich wahrscheinlich auf dynamische Adressierungsschemata beziehen.

Dies bedeutet, dass die Besitzer der Maschinen nicht wissen, dass sie Angriffe weiterleiten, und es ist ihnen egal, sie befinden sich möglicherweise in Ländern, in denen das Gesetz wirklich keine Rolle spielt, und die ISPs kümmern sich wahrscheinlich nicht darum und gewinnen auf jeden Fall Ich möchte keine Protokolle durchsuchen, um zu sehen, wer diese IP-Adresse verwendet hat.

Der beste Plan ist eine Kombination aus Lynxman, Jacob und Packs - blockieren Sie diese im Allgemeinen, richten Sie jedoch ein Skript ein, um festzustellen, ob es gemeinsame Schuldige gibt, und senden Sie Ihre Kommunikation speziell an die Missbrauchsabteilungen dieser ISPs.

So nutzen Sie Ihre Zeit besser.

Rory Alsop
quelle