Mor*_*gil 12 security hacking abuse
我正在运行一个小型(基于 Windows)的服务器。当我检查日志时,我看到源源不断的(不成功的)密码猜测黑客尝试。我应该尝试向源 IP 地址的所有者报告这些尝试,还是现在这些尝试被认为是完全正常的,无论如何没有人会费心做任何事情?
Sco*_*ack 15
虽然答案在很大程度上取决于您试图通知的机构,但我相信一般来说您应该这样做。事实上,由于监控和响应我们组织的滥用邮箱是我的主要工作职责之一,我可以肯定地说,“是的,请!”。我与其他安全组织的成员进行了同样的对话,答案似乎主要包括:
当然,我不会告诉您要遵守这些规则,但我建议您在报告方面犯错。这通常不需要太多努力,并且可以真正帮助另一端的人。他们的理由是 ISP 通常不会采取有意义的行动,因此他们会将信息归档。我可以说我们会积极追查此事。我们不喜欢我们网络上的被黑机器,因为它们有传播的趋势。
真正的技巧是将您的响应和报告程序正式化,以便报告之间以及员工之间保持一致。我们至少需要以下内容:
如果您还可以包含提示您的日志消息示例,那也很有用。
通常,当我们看到这种行为时,我们也会在最合适的位置设置最合适范围的防火墙块。适当的定义将在很大程度上取决于正在发生的事情、您从事的业务类型以及您的基础架构是什么样的。它的范围可能从阻止主机上的单个攻击 IP,一直到不在边界路由该 ASN。
| 归档时间: |
|
| 查看次数: |
7683 次 |
| 最近记录: |