¿Qué debe hacer cuando nota un tráfico extraño?

Navega tus respuestas
0

No estoy en este punto todavía, afortunadamente, pero estar preparado significa saber la respuesta antes , surge el problema, así que aquí va ...

Estás mirando a través de tu firewall / registro de sitios web ...

Y notas una gran cantidad de peticiones. Parece que alguien te ha escaneado los puertos, o ejecuta sqlmap o DirBuster, Nessus, metasploit o lo que sea. Además de romper en sudor frío y hacer sacrificios ocultos a los dioses de Internet, ¿cuáles son los buenos pasos a seguir en este momento?

Supongo que:

  1. vaya a través de otros registros con más cuidado de lo habitual, buscando derivaciones de la norma,
  2. (si es solo de una IP) realice una consulta DNS inversa para ver si están asociadas con algún dominio y, si lo están, póngase en contacto con webmaster @, abuse @ y otras direcciones RFC2142 y, si no lo hacen, No responda dentro de las 24 horas, contacte a su ISP.
  3. (si es de múltiples direcciones IP) verifique si están usando direcciones IP de redes anónimas conocidas, y si lo son, bloquee esos anonimizadores (tanto como sea posible).
  4. (si es lo suficientemente importante / un intento claro de interrumpir o DOS, y no simplemente de reconocimiento), póngase en contacto con el FBI (si alguna de las IP se encuentra en las líneas de estado). No estoy seguro de qué otras agencias de aplicación de la ley contactarías.
  5. Bloquea temporalmente los inicios de sesión de ssh de usuarios no esenciales mientras la tormenta está resistiendo (por lo que tu superficie de ataque es más pequeña).
pregunta Parthian Shot 09.07.2014 - 22:23
fuente

1 respuesta

4

Yo haría el primer artículo solamente. El análisis de registros adicionales es claramente prudente para asegurarse de que no se haya producido un compromiso real.

El bloqueo de IP es de mínima eficacia. La mayoría de los ciberdelincuentes no se están rompiendo en las máquinas de su red doméstica, están usando otra máquina comprometida o un proxy para ocultar su identidad. Bloquear su punto de salto puede ralentizarlos, pero en realidad es solo un juego del gato y el ratón. Tal vez se aburran y se den por vencidos, así que supongo que tiene algo de valor, pero si empiezas a bloquear muchas IP, podrías estar bloqueando el tráfico legítimo (clientes, por ejemplo).

Ponerme en contacto con la policía es algo que me gustaría ahorrar después de estar seguro de que se ha producido un compromiso y de que hay pruebas sustanciales y puedo demostrar una pérdida financiera. De lo contrario, no hay mucho que puedan hacer. Antes de un compromiso real, incluso si eso puede ser técnicamente ilegal, LE está tan sobrecargado de trabajo que es poco probable que tengan recursos para verlo.

Mi servidor personal es escaneado de puertos, dirbustered, etc., varias veces al día. Ni siquiera parpadeo en esos informes, es solo ruido en este punto.

    
respondido por el David 10.07.2014 - 02:02
fuente

Lea otras preguntas en las etiquetas

¿Qué tan seguro es mi método? ¿Cómo puedo demostrar a los usuarios del software que los binarios que publico coinciden con el código fuente que fue inspeccionado y verificado por un tercero? [duplicar]