Spørsmål:
Hvordan rapportere mislykkede angrep til kildenettverksadministratorene?
Chris Rogers
2018-06-29 21:21:49 UTC
view on stackexchange narkive permalink

Jeg er ikke profesjonell informasjonssikkerhet som sådan. Jeg er en selvlært nettutvikler, så jeg håper dette spørsmålet ikke er for grunnleggende.

Jeg har opprettet en nettbutikk via WordPress ved hjelp av WooCommerce, og på grunn av dette har jeg også satt opp litt sikkerhet (iThemes Security) for å overvåke påloggingsforsøk osv. IThemes Security har markert noen få forsøk de siste to månedene som er blitt hindret på grunn av sterke passord eller det faktum at "admin" er utestengt som brukernavn.

Kjører whois søker på RIPE whois-databasen, IP-adressene til "angriperne" kom opp med FOP Tokarchuk Oleksandr Stepanovich i Ukraina (abuse@fregat.net) og World Hosting Farm LTD i Irland (abuse @ worldhostingfarm .com).

FOP Tokarchuk Oleksandr Stepanovich i Ukraina
Det var 11 brute-force forsøk for 2 måneder siden (ugyldige pålogginger) og 3 brute force forsøk i dag som prøvde å bruke "admin" som brukernavn

World Hosting Farm LTD i Irland
Det var seks brute-force forsøk for 3 uker siden.

Butikken er n ennå ikke live, da lagerdatabasen bygges for øyeblikket, slik at ingen informasjon om kunder ville ha vært i fare. Hvert forsøk har resultert i to timers lockout for de aktuelle IP-adressene, og e-post ble sendt til meg fra nettstedet som fortalte meg at de var låst ute. Jeg har da konvertert deres lockouts til fullstendige forbud, så teoretisk kan ikke flere forsøk gjøres gjennom disse IP-adressene. Forhåpentligvis har jeg rett i dette.

Det jeg lurer på er om jeg skal kontakte relevante ansvarlige organisasjoner via misbruk @ e-postadressene?

I så fall skal jeg sende en full kopi av loggene som er relevante for forsøk eller utdrag av loggene som er relevante for IP-adressen og tidspunktene for forsøkene?

Jeg antar at du snakker om helautomatiske angrepsforsøk.Denne typen uønsket trafikk er dessverre normal i dag, og du vil se mer av dette i fremtiden, og kanskje var det allerede mer (og annerledes) av det allerede, men du la ikke merke til det.Gitt at det ser ut til at det ikke ble gjort noen skade (dvs. noen som bare banker på døren og går videre, ikke noen som bryter døren), tror jeg ikke at rapportering av dette til noen faktisk vil hjelpe.Det beste du sannsynligvis kan gjøre er å herde systemet ditt og holde det oppdatert slik at det er for vanskelig å angripe deg.
Relatert: https://serverfault.com/questions/244614/is-it-normal-to-get-hundreds-of-break-in-attempt-per-day
En svar:
ThoriumBR
2018-06-29 21:58:30 UTC
view on stackexchange narkive permalink

Ikke mist tiden din på å forfølge gutta eller rettssaker. Med mindre du har bevis for at du hadde et betydelig økonomisk tap, og du kan bevise at brukeren kontrollerer datamaskinen som bruker IP, kan du ikke engang starte en søksmål.

Du kan sende en e-post til misbruk @ , men ikke hold pusten. Du setter en ISP mot kunden, og ISP vil forsvare sin egen klient, med mindre du har en veldig sterk sak mot brukeren. Og allikevel vil sannsynligvis Internett-leverandøren ikke bevege en finger med mindre du rettssaker. Og hvis du ikke er i Ukraina eller Irland, ikke tro at domstolene deres vil hjelpe deg.

På den annen side vil det blokkere å blokkere IP for et par timer. Paring fail2ban med iptables , og blokkering av IP som prøver å få tilgang til adminområdet, eller treffer for mye HTTP 404 feil vil beskytte deg mot mest automatiserte skanner.



Denne spørsmålet ble automatisk oversatt fra engelsk.Det opprinnelige innholdet er tilgjengelig på stackexchange, som vi takker for cc by-sa 4.0-lisensen den distribueres under.
Loading...