J'exécute un petit serveur (basé sur Windows). Lorsque je vérifie les journaux, je vois un flux constant de tentatives de piratage de mot de passe (infructueuses). Dois-je essayer de signaler ces tentatives aux propriétaires des adresses IP source, ou ces tentatives sont-elles considérées de nos jours comme complètement normales et personne ne prendrait la peine de faire quoi que ce soit à leur sujet, de toute façon?
Bien que la réponse puisse dépendre grandement de l'agence que vous essayez d'informer, je pense qu'en général, vous devriez. En fait, puisque surveiller et répondre à la boîte aux lettres d'abus pour notre organisation est l'une de mes tâches principales, je peux dire positivement: «Oui, s'il vous plaît!». J'ai eu cette même conversation avec des membres d'autres organisations de sécurité et les réponses semblaient largement consister en:
Si les informations whois sur l'IP indiquent une entreprise ou une université, signalez
Si les informations whois sur l'IP indiquent un FAI, alors ne vous embêtez pas
Bien sûr, je ne vous dirai pas de suivre ces règles, mais je recommanderais de pécher par excès de rapport. Cela ne prend généralement pas beaucoup d'efforts et peut vraiment aider les gars de l'autre côté. Leur raisonnement était que les FAI ne sont pas souvent en position de prendre des mesures significatives, ils classeront donc les informations. Je peux dire que nous allons poursuivre activement cette affaire. Nous n'apprécions pas les machines piratées sur notre réseau, car elles ont tendance à se propager.
Le vrai truc est de formaliser votre réponse et votre procédure de reporting afin qu'elle soit cohérente entre les rapports, ainsi qu'entre le personnel. Nous voulons, au minimum, ce qui suit:
Adresse IP du système attaquant
Horodatage (y compris le fuseau horaire) de l'événement
Les adresses IP des systèmes de votre côté
Si vous pouvez également inclure un échantillon des messages de journal qui vous ont informé, cela peut également être utile.
Normalement, lorsque nous constatons ce type de comportement, nous instituons également des blocs de pare-feu de la portée la plus appropriée à l'emplacement le plus approprié. Les définitions de appropriées vont dépendre de manière significative de ce qui se passe, du type d'entreprise dans laquelle vous vous trouvez et de l'apparence de votre infrastructure. Cela peut aller du blocage de la seule IP attaquante à l'hôte, jusqu'à la non routage de cet ASN à la frontière.
Merci - bon de savoir. Existe-t-il des outils simples à déployer pour aider à automatiser ces rapports? Identifier les types d'abus qui sont utiles à signaler, trouver à qui faire rapport, y compris les informations utiles, traiter les signalements qui sont rejetés, etc.?
nealmcb
@Nealmcb - il existe des systèmes IDS amusants et coûteux qui peuvent résumer tout cela. J'ai vu Cisco MARS le faire. Je ne sais pas s'il existe des options bon marché / gratuites qui facilitent la tâche, mais si votre ensemble de journaux est petit, vous pouvez probablement rédiger un grattoir pour vous présenter un rapport facile à utiliser.
mfinni
2
Il s'agit d'une attaque par mot de passe connue sous le nom d'attaque par force brute. La meilleure défense consiste à s'assurer que les mots de passe des utilisateurs sont solides. Une autre solution consiste à verrouiller une adresse IP avec plusieurs échecs de connexion. Les attaques par force brute sont difficiles à arrêter.
Comme l'a dit lynxman, tout ce que vous pouvez vraiment faire est de contacter leur service d'abus des FAI et de les informer. Je bloquerais cette IP à la fois dans le pare-feu et sur le serveur. Deuxièmement, je configurerais également le verrouillage basé sur les tentatives dans la stratégie de groupe (si vous avez AD). Tant que vos mots de passe sont forts, je ne m'en inquiéterai pas, j'ai des serveurs que j'exécute pour apprendre et je reçois des tentatives de connexion toute la journée.
Contacter leurs FAI est ce que je voulais dire (rien d'important ne s'est produit, l'attaque n'a pas réussi, donc contacter le FAI est tout ce que je pourrais vouloir faire) - dois-je le faire, ou est-ce une perte de temps?
Mormegil
@mormegil Cela dépend, je le fais d'habitude, mais si c'est en Russie ou dans un pays de l'ancien bloc soviétique, cela ne me dérange pas. Ils peuvent annuler l'itinéraire vers vous, ce qui vous fera arrêter le trafic.
Jacob
1
Malheureusement, c'est tout à fait normal, la plupart de ces tentatives sont générées via d'autres serveurs qui ont également été piratés.
Le mieux que vous puissiez faire est que si vous voyez ces attaques provenir de manière persistante d'une adresse IP unique et que vous pensez que le serveur a été piraté, il doit envoyer un e-mail aux abus / administrateurs système sur ce serveur afin qu'ils puissent régler la situation, il est assez facile de perdre suivre un serveur lorsque vous êtes surchargé et en maintenir des centaines.
Dans tous les autres cas, le pare-feu, le filtrage ou l'ignorance est généralement une bonne pratique.
Votre problème ici est que le grand nombre d'entre eux proviendront probablement de machines compromises, dans divers pays, qui sont probablement des ordinateurs personnels et qui sont probablement sur des schémas d'adressage dynamique.
Ce qui signifie que les propriétaires des machines ne savent pas qu'ils transmettent des attaques, et ne s'en soucient pas, ils peuvent être dans des pays où la loi ne s'en soucie vraiment pas, et les FAI ne s'en soucient probablement pas et en tout cas ont gagné Je ne veux pas parcourir les journaux pour voir qui utilisait cette adresse IP.
Le meilleur plan est une combinaison de lynxman, Jacob et packs - généralement les bloquer, mais mettre en place un script pour voir s'il y a des coupables communs et envoyer spécifiquement vos communications aux services d'abus de ces FAI.
Une meilleure utilisation de votre temps de cette façon.
Il s'agit d'une attaque par mot de passe connue sous le nom d'attaque par force brute. La meilleure défense consiste à s'assurer que les mots de passe des utilisateurs sont solides. Une autre solution consiste à verrouiller une adresse IP avec plusieurs échecs de connexion. Les attaques par force brute sont difficiles à arrêter.
la source
Comme l'a dit lynxman, tout ce que vous pouvez vraiment faire est de contacter leur service d'abus des FAI et de les informer. Je bloquerais cette IP à la fois dans le pare-feu et sur le serveur. Deuxièmement, je configurerais également le verrouillage basé sur les tentatives dans la stratégie de groupe (si vous avez AD). Tant que vos mots de passe sont forts, je ne m'en inquiéterai pas, j'ai des serveurs que j'exécute pour apprendre et je reçois des tentatives de connexion toute la journée.
la source
Malheureusement, c'est tout à fait normal, la plupart de ces tentatives sont générées via d'autres serveurs qui ont également été piratés.
Le mieux que vous puissiez faire est que si vous voyez ces attaques provenir de manière persistante d'une adresse IP unique et que vous pensez que le serveur a été piraté, il doit envoyer un e-mail aux abus / administrateurs système sur ce serveur afin qu'ils puissent régler la situation, il est assez facile de perdre suivre un serveur lorsque vous êtes surchargé et en maintenir des centaines.
Dans tous les autres cas, le pare-feu, le filtrage ou l'ignorance est généralement une bonne pratique.
la source
Votre problème ici est que le grand nombre d'entre eux proviendront probablement de machines compromises, dans divers pays, qui sont probablement des ordinateurs personnels et qui sont probablement sur des schémas d'adressage dynamique.
Ce qui signifie que les propriétaires des machines ne savent pas qu'ils transmettent des attaques, et ne s'en soucient pas, ils peuvent être dans des pays où la loi ne s'en soucie vraiment pas, et les FAI ne s'en soucient probablement pas et en tout cas ont gagné Je ne veux pas parcourir les journaux pour voir qui utilisait cette adresse IP.
Le meilleur plan est une combinaison de lynxman, Jacob et packs - généralement les bloquer, mais mettre en place un script pour voir s'il y a des coupables communs et envoyer spécifiquement vos communications aux services d'abus de ces FAI.
Une meilleure utilisation de votre temps de cette façon.
la source