Mi sitio web estuvo bajo un ataque de inyección SQL durante un tiempo. Después de que se notó, cerré los lugares problemáticos y los ataques fallaron.
Al examinar los registros, encuentro que aproximadamente 46 IP únicas han estado intentando ejecutar ataques de inyección SQL que consisten en más de 500 solicitudes GET / POST durante un par de semanas (la más alta fue 147816 solicitudes).
Después de que se cerraron las lagunas, el número de solicitudes se redujo a la derecha (a un puñado por día, probablemente solo el sondeo).
Mi pregunta es, ¿hay algún punto tratando de reportar a estos tipos? Probablemente sean de alguna máquina comprometida en algún lugar, así que quizás no.
Relacionado: ¿Existe un ¿Cómo reportar las exploraciones de direcciones IP en busca de explotaciones?
Sin embargo, esto no es un análisis , el volumen implica que sabían que fue un éxito.
Puedo imaginar un par de escenarios:
- Estas direcciones son en realidad el atacante, en cuyo caso podrían "ayudar a la policía con sus consultas".
- Estas direcciones son de una víctima inocente, en cuyo caso probablemente les agradaría que se informara que su máquina está infectada.
Suponiendo que la respuesta es "sí, infórmalo", la siguiente pregunta es "¿a quién?". Si tengo que pasar una hora rellenando un formulario largo, por dirección, realmente no valdrá la pena.
países involucrados
(editado para agregar)
Estoy en Australia.
El atacante más prolífico está en Montreal, Canadá.
Otros son:
- Bromley, Reino Unido (cerca de Londres)
- Glattfelden, Suiza
- Ámsterdam, Países Bajos
Es difícil ver a una jurisdicción policial interesarse en esto, a menos que tengan un departamento especial para manejar los ataques mundiales.