Cosa dovresti fare quando noti traffico strano?

0

Non sono ancora arrivato a questo punto, per fortuna, ma essere preparati significa conoscere la risposta prima il problema sorge, quindi ecco qui ...

Stai visualizzando i tuoi registri firewall / sito web ...

E noti un gran numero di richieste. Qualcuno sembra averti scansionato, o eseguito sqlmap o DirBuster, Nessus, metasploit o qualsiasi altra cosa. A parte scoppiare a sudare freddo e fare sacrifici occulti agli dei di Internet, quali sono i passi da fare a questo punto?

Suppongo che tu voglia:

  1. analizza gli altri registri con più attenzione del solito, cercando le derivazioni dalla norma,
  2. (se è solo da un IP) fai una query DNS inversa su di essi per vedere se sono associati a domini e, se lo sono, contatta webmaster @, abuse @ e altri indirizzi RFC2142, se non lo fanno t rispondere entro 24 ore contattare il proprio ISP.
  3. (se proviene da più IP) controlla se stanno usando IP da reti anonime anonime conosciute, e se lo sono, blocca quegli anonymizer (il più possibile).
  4. (se abbastanza egregio / un chiaro tentativo di penetrazione o DOS, e non semplicemente di ricognizione) contattare l'FBI (se uno qualsiasi degli IP si trova su linee di stato). Non sei sicuro di quali altre forze dell'ordine potresti contattare.
  5. Blocca temporaneamente gli accessi ssh da utenti non indispensabili mentre la tempesta viene esposta alle intemperie (quindi la superficie di attacco è più piccola).
posta Parthian Shot 09.07.2014 - 22:23
fonte

1 risposta

4

Vorrei fare solo il primo oggetto. L'analisi dei registri aggiuntivi è chiaramente prudente per garantire che non si siano verificati veri e propri compromessi.

Il blocco degli IP è di efficacia minima. La maggior parte dei cyber-criminali non si infrange nelle macchine dalla rete domestica, sta utilizzando un'altra macchina compromessa o un proxy per nascondere la propria identità. Bloccare il loro punto di partenza può rallentarli, ma in realtà è solo un gioco di gatti e topo. Forse si annoieranno e si arrenderanno, quindi suppongo che abbia qualche valore, ma se inizi a bloccare un sacco di IP, potresti bloccare il traffico legittimo (ad esempio i clienti).

Contattando le forze dell'ordine è qualcosa che salverei dopo essermi assicurato che un compromesso si è verificato e che ci sono entrambe prove sostanziali e posso dimostrare una perdita finanziaria. Altrimenti, non c'è molto che possano fare. Prima di un vero compromesso, anche se questo può essere tecnicamente illegale, LE è così sovraccarico che è improbabile che abbiano risorse per guardarlo.

Il mio server personale ottiene portscanned, dirbustered, ecc., più volte al giorno. A questo punto non sbatto nemmeno le palpebre, è solo rumore a questo punto.

    
risposta data 10.07.2014 - 02:02
fonte

Leggi altre domande sui tag