Come segnalare attacchi non riusciti agli amministratori di rete di origine? [duplicare]

8

Non sono un professionista della sicurezza delle informazioni in quanto tale. Sono uno sviluppatore web autodidatta quindi spero che questa domanda non sia troppo semplice.

Ho creato un negozio web tramite WordPress usando WooCommerce e grazie a questo, ho anche impostato un po 'di sicurezza (iThemes Security) per monitorare i tentativi di accesso ecc. iThemes Security ha evidenziato alcuni tentativi negli ultimi 2 mesi che hanno è stato sventato a causa di password forti o del fatto che "admin" è bannato come nome utente.

Eseguendo whois effettua ricerche nel RIPE database whois , gli indirizzi IP degli "attaccanti" hanno scoperto il FOP Tokarchuk Oleksandr Stepanovich in Ucraina ([email protected]) e World Hosting Farm LTD in Irlanda ([email protected]).

FOP Tokarchuk Oleksandr Stepanovich in Ucraina
Ci sono stati 11 tentativi di forza bruta 2 mesi fa (accessi non validi) e 3 tentativi di forza bruta oggi cercando di usare "admin" come username

World Hosting Farm LTD in Irlanda
Ci sono stati 6 tentativi di forza bruta 3 settimane fa.

Il negozio non è ancora attivo poiché al momento è in costruzione il database azionario, quindi nessuna informazione sui clienti sarebbe stata messa a repentaglio. Ogni tentativo ha portato a blocchi di 2 ore per gli indirizzi IP pertinenti, e le e-mail mi sono state inviate dal sito web che mi dicevano che erano bloccate. Ho quindi convertito i lockout in divieti completi, quindi teoricamente non è possibile effettuare ulteriori tentativi tramite tali indirizzi IP. Spero di aver ragione su questo.

Quello che mi chiedo è se dovrei contattare le organizzazioni responsabili interessate tramite l'abuso @ indirizzi email?

In caso affermativo, dovrei inviare una copia completa dei log relativi ai tentativi o ai frammenti dei registri relativi all'indirizzo IP e ai tempi dei tentativi?

    
posta Chris Rogers 29.06.2018 - 18:21
fonte

1 risposta

17

Non perdere tempo a perseguire quei ragazzi o litigare. A meno che tu non abbia come dimostrare di avere una considerevole perdita finanziaria, e puoi provare che l'utente controlla il computer che usa l'IP, non puoi nemmeno avviare un contenzioso.

Puoi inviare un messaggio a abuse@ , ma non trattenere il respiro. Stai mettendo un ISP contro il suo cliente, e l'ISP difenderà il proprio cliente, a meno che tu non abbia una causa molto strong nei confronti dell'utente. E anche così, probabilmente l'ISP non muoverebbe un dito a meno che tu non litighi. E se non sei in Ucraina o in Irlanda, non pensare che i loro tribunali ti aiuteranno.

D'altra parte, bloccare l'IP per un paio d'ore ti aiuterà immensamente. L'accoppiamento di fail2ban con iptables e il blocco di qualsiasi IP che tenta di accedere all'area di amministrazione o il superamento di errori di HTTP 404 ti proteggerà dalla maggior parte delle scansioni automatiche.

    
risposta data 29.06.2018 - 18:58
fonte

Leggi altre domande sui tag