Estou executando um servidor pequeno (baseado no Windows). Quando verifico os logs, vejo um fluxo constante de tentativas de hackers (sem êxito) de adivinhação de senha. Devo tentar relatar essas tentativas aos proprietários dos endereços IP de origem, ou essas tentativas hoje em dia são consideradas completamente normais e ninguém se incomodaria em fazer nada a respeito?
Respostas:
Embora a resposta possa depender muito da agência que você está tentando informar, acredito que em geral você deveria. De fato, como monitorar e responder à caixa de correio de abuso de nossa organização é uma das minhas principais funções no trabalho, posso dizer positivamente: 'Sim, por favor!'. Eu tive essa mesma conversa com membros de outras organizações de segurança e as respostas pareciam basicamente consistir em:
Obviamente, não vou dizer para você seguir essas regras, mas recomendo que você se incline a denunciar. Geralmente, não é preciso muito esforço e pode realmente ajudar os caras do outro lado. O raciocínio deles era que os ISPs geralmente não estão em posição de tomar ações significativas, então eles arquivam as informações. Posso dizer que prosseguiremos agressivamente com o assunto. Não apreciamos máquinas invadidas em nossa rede, pois elas tendem a se espalhar.
O verdadeiro truque é formalizar sua resposta e o procedimento de relatório, para que seja consistente entre os relatórios e também entre a equipe. Queremos, no mínimo, o seguinte:
Se você também pode incluir uma amostra das mensagens de log que informaram você, isso também pode ser útil.
Normalmente, quando vemos esse tipo de comportamento, também instituímos blocos de firewall do escopo mais apropriado no local mais apropriado. As definições de apropriado vão depender significativamente do que está acontecendo, em que tipo de negócio você está e com a aparência de sua infraestrutura. Pode variar de bloquear o único IP de ataque no host, até o roteamento desse ASN na fronteira.
Como o que o lynxman disse, tudo o que você realmente pode fazer é entrar em contato com o departamento de abuso de provedores de serviços de Internet e informá-los. Eu bloquearia esse IP no Firewall e no servidor. Segundo, eu também configuraria a tentativa de bloqueio baseado na política de grupo (se você tiver o AD). Desde que suas senhas sejam fortes, não me preocuparia, tenho servidores que corro para aprender e recebo tentativas de login o dia inteiro.
Infelizmente, é completamente normal, a maioria dessas tentativas é gerada por outros servidores que foram invadidos também.
O melhor que você pode fazer é que, se você vir esses ataques persistentemente de um endereço IP único e suspeitar que o servidor foi hackeado, envie um email para os abusos / administradores de sistema desse servidor para que eles possam corrigir a situação, é muito fácil perder rastrear um servidor quando você estiver sobrecarregado e manter centenas deles.
Em qualquer outro caso, firewall, filtragem ou ignição é principalmente uma boa prática.
Seu problema aqui é que o grande número dessas prováveis provavelmente vem de máquinas comprometidas, em vários países, que provavelmente são PCs de usuários domésticos e provavelmente estão em esquemas de endereçamento dinâmico.
O que significa que os proprietários das máquinas não sabem que estão encaminhando ataques e não se importam; podem estar em países onde a lei realmente não se importa, e os ISPs provavelmente não se importam e, de qualquer forma, venceram deseja rastrear logs para ver quem estava usando esse endereço IP.
O melhor plano é uma combinação de Lynxman, Jacob e Packs - geralmente bloqueia-os, mas crie um script para ver se há culpados comuns e envie suas comunicações aos departamentos de abuso desses provedores.
Melhor uso do seu tempo dessa maneira.