Devo segnalare l'indirizzo IP di un attacco? È così, a chi?

2

Il mio sito Web è stato sottoposto a un attacco di SQL injection per un po 'di tempo. Dopo che è stato notato, ho chiuso i posti problematici e gli attacchi non sono riusciti.

Esaminando i log, trovo che circa 46 IP univoci hanno tentato di eseguire attacchi SQL injection consistenti di oltre 500 richieste GET / POST in un paio di settimane (il più alto era 147816 richieste).

Dopo che le scappatoie sono state chiuse, il numero di richieste è sceso verso il basso (a una manciata al giorno, probabilmente solo a sondare).

La mia domanda è, c'è qualche ragione nel cercare di denunciare questi ragazzi? Probabilmente sono da qualche macchina compromessa da qualche parte, quindi forse no.

Correlati: C'è un modo di segnalare la scansione degli indirizzi IP per gli exploit?

Tuttavia questa non è una scansione - il volume implica che sapevano che era un successo.

Posso immaginare un paio di scenari:

  • Questi indirizzi sono in realtà l'autore dell'attacco, nel qual caso potrebbero essere in grado di "assistere la polizia nelle loro indagini".
  • Questi indirizzi provengono da alcune vittime innocenti, nel qual caso probabilmente sarebbero contenti di sapere che la loro macchina è infetta.

Supponendo che la risposta sia "sì, segnalalo", la prossima domanda è "a chi?". Se devo passare un'ora a compilare un modulo lungo, per indirizzo, non ne varrà la pena.

Paesi coinvolti

(modificato per aggiungere)

Sono in Australia.

L'attaccante più prolifico è a Montreal, in Canada.

Gli altri sono:

  • Bromley, Regno Unito (vicino a Londra)
  • Glattfelden, Svizzera
  • Amsterdam, Paesi Bassi

È difficile vedere una giurisdizione della polizia interessarsi a questo, a meno che non disponga di un dipartimento speciale per gestire attacchi in tutto il mondo.

    
posta Nick Gammon 21.11.2016 - 08:14
fonte

2 risposte

2

Se si sospetta che stia utilizzando una macchina compromessa, è possibile avvisare l'amministratore della rete. Puoi trovare le informazioni di contatto effettuando una ricerca whois:

$ whois 151.301.193.69

...
OrgAbuseHandle: ABUSE4771-ARIN
OrgAbuseName:   Abuse Account
OrgAbusePhone:  +1-555-496-9353
OrgAbuseEmail:  [email protected]
OrgAbuseRef:    https://whois.arin.net/rest/poc/ABUSE4771-ARIN
    
risposta data 21.11.2016 - 11:58
fonte
1

Poiché questi sembrano normali tentativi di scansione / scansione su Internet, i soliti consigli in situazioni come la tua, in cui gli attacchi provengono da più giurisdizioni, non devono preoccuparsi, in quanto in generale non si può fare nulla al riguardo.

Se vuoi impegnarti, puoi provare a notificare il proprietario dei record whois per ciascuno degli indirizzi IP (azienda o ISP), perché è probabile che i loro computer non li stiano attaccando. È molto probabile che siano compromessi come parte di una botnet.

    
risposta data 21.11.2016 - 10:03
fonte

Leggi altre domande sui tag