ハッキングの試みを報告すべきですか？

小型（Windowsベース）サーバーを実行しています。ログを確認すると、パスワード推測によるハッキングの試みが（成功しなかった）安定して流れていることがわかります。これらの試みをソースIPアドレスの所有者に報告しようとするべきでしょうか、それとも最近の試みは完全に正常であると考えられているのでしょうか。

答えはあなたが伝えようとしている機関によって大きく異なりますが、一般的にはそうすべきだと思います。実際、私たちの組織の虐待メールボックスを監視し、それに対応することは私の主要な職務の1つであるため、「Yes Please！」と積極的に言うことができます。他のセキュリティ組織のメンバーと同じ会話をしましたが、その答えは主に次のように思われました。

• IPのwhois情報が企業または大学を示している場合は、報告する
• IPのwhois情報にISPが表示されている場合は、気にしないでください

もちろん、これらのルールに従うように指示することはありませんが、レポートの側で誤ることをお勧めします。通常はそれほど労力を必要とせず、反対側の人を本当に助けることができます。彼らの理由は、ISPが有意義な行動をとる立場にないことが多いため、情報を整理することです。私たちはこの問題を積極的に追求すると言うことができます。ネットワーク上でハッキングされたマシンは、拡散する傾向があるため、高く評価していません。

本当のコツは、スタッフ間だけでなくレポート間でも一貫性を保つことができるように、応答とレポート手順を形式化することです。少なくとも、次のものが必要です。

1. 攻撃システムのIPアドレス
2. イベントのタイムスタンプ（タイムゾーンを含む）
3. エンドのシステムのIPアドレス

ログメッセージのサンプルを含めることができれば、それも役立ちます。

通常、この種の動作を確認すると、最も適切な場所に最も適切なスコープのファイアウォールブロックも設置します。適切な定義は、何が起こっているのか、あなたがどのようなビジネスをしているのか、そしてインフラがどのように見えるのかに大きく依存します。ホストで単一の攻撃IPをブロックすることから、境界でそのASNをルーティングしないことまであります。

これは、ブルートフォース攻撃として知られるパスワード推測攻撃です。最善の防御策は、ユーザーのパスワードが強力であることを確認することです。別の解決策は、複数の失敗したログインでIPアドレスをロックアウトすることです。ブルートフォース攻撃を止めることは困難です。

lynxmanがあなたが本当にできることは、ISPの虐待部門に連絡して通知することだけです。ファイアウォールとサーバーの両方でそのIPをブロックします。次に、グループポリシーで試行ベースのロックアウトも設定します（ADがある場合）。パスワードが強力である限り、心配する必要はありません。学習するために実行しているサーバーがあり、1日中ログイン試行が行われます。

残念ながら、それは完全に正常です。この試みのほとんどは、同様にハッキングされた他のサーバーを通じて生成されます。

できる最善の方法は、これらの攻撃が一意のIPアドレスから持続的に発生し、サーバーがハッキングされた疑いがある場合、そのサーバーの悪用/システム管理者にメールを送信して状況を修正できるようにすることです。過負荷状態のサーバーを追跡し、数百台のサーバーを管理します。

それ以外の場合、ファイアウォール、フィルタリング、または無視はほとんどの場合、良い習慣です。

ここでの問題は、これらの膨大な数が、さまざまな国で、おそらくはホームユーザーのPCであり、おそらく動的なアドレス指定スキームにある侵害されたマシンから来る可能性があることです。

つまり、マシンの所有者は、攻撃を転送していることを知らず、気にしない、彼らは法律が本当に気にしない国にいる可能性があり、ISPはおそらく気にせず、いずれにしても勝つログをトロールして、そのIPアドレスを使用しているユーザーを確認する必要はありません。

最良の計画は、lynxman、jacob、およびpackの組み合わせです。通常はそれらをブロックしますが、一般的な犯人がいるかどうかを確認するスクリプトを設定し、特にISPの虐待部門に通信を送信します。

そのようにあなたの時間のより良い使用。