¿Cómo informar los ataques fallidos a los administradores de la red de origen? [duplicar]

8

No soy un profesional de seguridad de la información como tal. Soy un desarrollador web autodidacta, así que espero que esta pregunta no sea demasiado básica.

He configurado una tienda web a través de WordPress usando WooCommerce y, por este motivo, también he configurado algo de seguridad (Seguridad de iThemes) para monitorear los intentos de inicio de sesión, etc. La Seguridad de iThemes ha destacado algunos intentos en los últimos 2 meses que han ha sido frustrado debido a contraseñas seguras o al hecho de que "admin" está prohibido como nombre de usuario.

Al ejecutar búsquedas de whois en la RIPE whois database , las direcciones IP de los "atacantes" crearon el FOP Tokarchuk Oleksandr Stepanovich en Ucrania (abuse@fregat.net) y World Hosting Farm LTD en Irlanda (abuse@worldhostingfarm.com).

FOP Tokarchuk Oleksandr Stepanovich en Ucrania
Hubo 11 intentos de fuerza bruta hace 2 meses (inicios de sesión no válidos) y 3 intentos de fuerza bruta hoy tratando de usar "admin" como nombre de usuario

World Hosting Farm LTD en Irlanda
Hubo 6 intentos de fuerza bruta hace 3 semanas.

La tienda aún no está activa, ya que la base de datos de existencias se está construyendo en este momento, por lo que no habría peligro para los clientes. Cada intento dio como resultado bloqueos de 2 horas para las direcciones IP relevantes, y me enviaron correos electrónicos desde el sitio web que me informaban que estaban bloqueados. Luego he convertido sus bloqueos en prohibiciones completas, por lo que teóricamente no se pueden hacer más intentos a través de esas direcciones IP. Espero tener razón en esto.

Lo que me pregunto es si debo comunicarme con las organizaciones responsables relevantes a través de las direcciones de correo electrónico de abuse @

Si es así, ¿debo enviar una copia completa de los registros relevantes a los intentos o fragmentos de los registros relevantes a la dirección IP y los tiempos de los intentos?

    
pregunta Chris Rogers 29.06.2018 - 18:21
fuente

1 respuesta

17

No pierdas tu tiempo persiguiendo a esos tipos o litigando. A menos que tenga cómo demostrar que tuvo una pérdida financiera considerable, y puede demostrar que el usuario controla la computadora que usa IP, ni siquiera puede iniciar un litigio.

Puedes enviar un correo a abuse@ , pero no aguantes la respiración. Usted está poniendo un ISP contra su cliente, y el ISP defenderá a su propio cliente, a menos que tenga un caso muy fuerte contra el usuario. Y aún así, probablemente el ISP no moverá un dedo a menos que usted litigue. Y si no estás en Ucrania o Irlanda, no creas que sus tribunales te ayudarán.

Por otro lado, bloquear la IP por un par de horas ayudará enormemente. El emparejamiento de fail2ban con iptables , y el bloqueo de cualquier IP que intente acceder al área de administración, o el exceso de errores de HTTP 404 lo protegerán de la mayoría de las exploraciones automatizadas.

    
respondido por el ThoriumBR 29.06.2018 - 18:58
fuente

Lea otras preguntas en las etiquetas