Non sono ancora arrivato a questo punto, per fortuna, ma essere preparati significa conoscere la risposta prima il problema sorge, quindi ecco qui ...
Stai visualizzando i tuoi registri firewall / sito web ...
E noti un gran numero di richieste. Qualcuno sembra averti scansionato, o eseguito sqlmap o DirBuster, Nessus, metasploit o qualsiasi altra cosa. A parte scoppiare a sudare freddo e fare sacrifici occulti agli dei di Internet, quali sono i passi da fare a questo punto?
Suppongo che tu voglia:
- analizza gli altri registri con più attenzione del solito, cercando le derivazioni dalla norma,
- (se è solo da un IP) fai una query DNS inversa su di essi per vedere se sono associati a domini e, se lo sono, contatta webmaster @, abuse @ e altri indirizzi RFC2142, se non lo fanno t rispondere entro 24 ore contattare il proprio ISP.
- (se proviene da più IP) controlla se stanno usando IP da reti anonime anonime conosciute, e se lo sono, blocca quegli anonymizer (il più possibile).
- (se abbastanza egregio / un chiaro tentativo di penetrazione o DOS, e non semplicemente di ricognizione) contattare l'FBI (se uno qualsiasi degli IP si trova su linee di stato). Non sei sicuro di quali altre forze dell'ordine potresti contattare.
- Blocca temporaneamente gli accessi ssh da utenti non indispensabili mentre la tempesta viene esposta alle intemperie (quindi la superficie di attacco è più piccola).