क्या मुझे हैकिंग प्रयासों की रिपोर्ट करनी चाहिए?

12

मैं एक छोटा (विंडोज-आधारित) सर्वर चला रहा हूं। जब मैं लॉग की जांच करता हूं, तो मुझे पासवर्ड के अनुमान लगाने का एक स्थिर प्रवाह (unsuccesfull) पासवर्ड-हैकिंग प्रयास दिखाई देता है। क्या मुझे स्रोत आईपी पते के मालिकों को उन प्रयासों को रिपोर्ट करने की कोशिश करनी चाहिए, या क्या ये प्रयास आजकल पूरी तरह से सामान्य माना जाता है और कोई भी उनके बारे में कुछ भी करने से परेशान होगा?

security  hacking  abuse 
Mormegil
स्रोत

जवाबों:

15

हालांकि जवाब उस एजेंसी पर बहुत निर्भर कर सकता है जिसे आप सूचित करने का प्रयास कर रहे हैं, मेरा मानना ​​है कि सामान्य तौर पर आपको होना चाहिए। वास्तव में, हमारे संगठन के लिए दुर्व्यवहार मेलबॉक्स की निगरानी और जवाब देने के बाद से मेरा प्राथमिक काम कर्तव्यों में से एक है, मैं सकारात्मक रूप से कह सकता हूं, 'हां कृपया!'। अन्य सुरक्षा संगठनों के सदस्यों के साथ मेरी यही बातचीत थी और जवाब बड़े पैमाने पर इसमें शामिल थे:

  • यदि आईपी पर जानकारी की जानकारी किसी व्यवसाय या विश्वविद्यालय को दिखाती है, तो रिपोर्ट करें
  • यदि आईपी पर whois जानकारी ISP दिखाती है, तो परेशान न हों

मैं, निश्चित रूप से, आपको उन नियमों का पालन करने के लिए नहीं कहूंगा, लेकिन मैं रिपोर्टिंग के पक्ष में गलत करने की सलाह दूंगा । यह आमतौर पर बहुत प्रयास नहीं करता है, और वास्तव में दूसरे छोर पर लोगों की मदद कर सकता है । उनका तर्क यह था कि ISPs अक्सर सार्थक कार्रवाई करने की स्थिति में नहीं होते हैं, इसलिए वे जानकारी को दूर कर देंगे। मैं कह सकता हूं कि हम आक्रामक तरीके से मामले को आगे बढ़ाएंगे। हम अपने नेटवर्क पर हैक की गई मशीनों की सराहना नहीं करते हैं, क्योंकि उनमें फैलने की प्रवृत्ति होती है।

असली चाल अपनी प्रतिक्रिया और रिपोर्टिंग प्रक्रिया को औपचारिक बनाना है ताकि यह रिपोर्ट के साथ-साथ कर्मचारियों के बीच भी सुसंगत हो सके। हम चाहते हैं, कम से कम, निम्नलिखित:

  1. हमलावर प्रणाली का आईपी पता
  2. घटना का समय टिकट (समय क्षेत्र सहित)
  3. आपके अंत में सिस्टम के IP पते

यदि आप लॉग संदेशों का एक नमूना भी शामिल कर सकते हैं जो आपको बंद कर देता है, तो यह उपयोगी भी हो सकता है।

आम तौर पर, जब हम इस तरह के व्यवहार को देखते हैं, तो हम सबसे उपयुक्त स्थान पर सबसे उपयुक्त दायरे के फ़ायरवॉल ब्लॉक भी स्थापित करते हैं। उपयुक्त की परिभाषा इस बात पर निर्भर करती है कि क्या हो रहा है, आप किस तरह के व्यवसाय में हैं और आपका बुनियादी ढांचा कैसा दिखता है। यह मेजबान पर एकल हमला करने वाले आईपी को अवरुद्ध करने से लेकर सीमा तक उस एएसएन को रूट नहीं करने तक हो सकता है।

स्कॉट पैक
स्रोत
साभार - जानकर अच्छा लगा क्या ऐसी रिपोर्टों को स्वचालित करने में मदद करने के लिए कोई सरल-से-तैनात उपकरण हैं? दुर्व्यवहार के प्रकारों की पहचान करना जो रिपोर्ट करने के लिए उपयोगी होते हैं, जो रिपोर्ट करना चाहते हैं, उपयोगी जानकारी सहित, बाउंस हो जाने वाली रिपोर्टों से निपटना, आदि?
nealmcb
@Nealmcb - मज़ेदार महंगे आईडीएस सिस्टम हैं जो इस सब को जोड़ सकते हैं। मैंने देखा है सिस्को MARS करते हैं। मुझे पता नहीं है कि क्या सस्ते / मुफ्त विकल्प हैं जो इस आसान को बनाते हैं, लेकिन अगर आपके लॉग का सेट छोटा है, तो आप शायद आपको एक आसान उपयोग रिपोर्ट के साथ पेश करने के लिए एक लॉगस्क्रैपर लिख सकते हैं।
mfinni
2

यह एक पासवर्ड-अटैकिंग अटैक है जिसे ब्रूट फोर्स अटैक के रूप में जाना जाता है। सबसे अच्छा बचाव यह सुनिश्चित करना है कि उपयोगकर्ता पासवर्ड मजबूत हैं। दूसरा, समाधान कई विफल लॉगिन के साथ एक आईपी पते को बंद करना है। ब्रूट बल के हमलों को रोकना मुश्किल है।

alvosu
स्रोत
2

जैसा कि लायनमैन ने कहा कि आप वास्तव में कर सकते हैं, उनके आईएसपीस दुर्व्यवहार विभाग से संपर्क करें और उन्हें सूचित करें। मैं फ़ायरवॉल और सर्वर पर उस IP को ब्लॉक कर दूंगा। दूसरा, मैं ग्रुप पॉलिसी (यदि आपके पास विज्ञापन है) में प्रयास आधारित लॉकआउट को भी सेटअप करेगा। जब तक आपके पासवर्ड मजबूत होते हैं, तब तक मैं इसके बारे में चिंता नहीं करूंगा, मेरे पास सर्वर हैं जिन्हें मैं सीखने के लिए चलाता हूं और मुझे पूरे दिन लॉगिन प्रयास मिलते हैं।

याकूब
स्रोत
उनके आईएसपी से संपर्क करने का मेरा मतलब है (महत्वपूर्ण कुछ भी नहीं हुआ, हमला सफल नहीं था, इसलिए आईएसपी से संपर्क करना मैं वह सब करना चाहता हूं) - क्या मुझे यह करना चाहिए, या क्या यह समय की बर्बादी है?
मोर्मगिल
@ मॉर्मगिल यह निर्भर करता है कि मैं आमतौर पर करता हूं लेकिन अगर रसिया में या पुराने सोविट ब्लाक में कोई देश मुझे परेशान नहीं करता है। वे आपके लिए मार्ग को शून्य कर सकते हैं जिससे आपको रुकने के लिए उससे यातायात मिलेगा।
याकूब
1

दुर्भाग्य से यह पूरी तरह से सामान्य है, इस प्रयास के अधिकांश अन्य सर्वरों के माध्यम से उत्पन्न होते हैं जिन्हें हैक किया गया है।

सबसे अच्छा आप यह कर सकते हैं कि यदि आप इन हमलों को एक अद्वितीय आईपी पते से लगातार देख रहे हैं और आपको संदेह है कि सर्वर हैक हो गया है तो उस सर्वर पर दुर्व्यवहार / sysadmins को ईमेल करें ताकि वे स्थिति को ठीक कर सकें, यह खोना काफी आसान है एक सर्वर का ट्रैक जब आप ओवरलोड होते हैं और उनमें से सैकड़ों को बनाए रखते हैं।

किसी भी अन्य मामले में फायरवॉल, फ़िल्टरिंग या अनदेखी करना एक अच्छा अभ्यास है।

lynxman
स्रोत
1

यहां आपकी समस्या यह है कि इनमें से बड़ी संख्या में समझौता मशीनों से होने की संभावना है, विभिन्न देशों में, जो संभवत: घरेलू उपयोगकर्ताओं के पीसी हैं और संभवतः गतिशील पते की योजनाओं पर हैं।

इसका मतलब यह है कि मशीनों के मालिकों को पता नहीं है कि वे हमलों को आगे बढ़ा रहे हैं, और परवाह नहीं करते हैं, वे उन देशों में हो सकते हैं जहां कानून वास्तव में परवाह नहीं करते हैं, और आईएसपी शायद परवाह नहीं करता है और किसी भी मामले में जीता है 'उस आईपी पते का उपयोग करने वाले को देखने के लिए लॉग को ट्रॉल करना चाहते हैं।

सबसे अच्छी योजना लैंक्समैन, जैकब और पैक्स का एक संयोजन है - आम तौर पर उन्हें ब्लॉक करते हैं, लेकिन यह देखने के लिए एक स्क्रिप्ट सेट करें कि क्या आम अपराधी हैं और विशेष रूप से उन आईएसपी के एब्यूज विभागों को आपके कॉम्पट भेजते हैं।

इस तरह से अपने समय का बेहतर उपयोग करें।

रोरी अलसॉप
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.