Господа, вопрос один в голове давно крутится. Fail2ban регулярно отлавливает попытки брутфорсить ssh. IP злодея попадает в бан на 10, все норм.
Есть ли смысл писать на адрес abuse указанный в Whois ? Дескать вот злодей, IP, время атаки, покарайте как можете.. В принципе можно даже скрыптик накатать что бы автоматом такие письма писались.
Есть ли резон слать такие письма? И вообще, нормально ли это, с морально-этической точки зрения ?
У меня терминал висит, далеко на НЕ стандартном порту. Эпизодически (от раза до 4х в месяц) вижу атаки на терминал (попытки подбора пароля). Тщательно отсылаю на abuse сообщения об этих фактах. И так уже больше года. За всё время мне пришёл только один ответ... с просьбой подтвердить логами атаку... Была или нет реакция в остальных случаях не знаю, при таких атаках я сразу всю подсеть по whois загоняю в ЧС на файрволе.
Спасибо, в курсе :) но как правило я внимательно смотрю что за подсеть. Практику блокировки всей заведомо не нужной подсети для себя завёл после нескольких атак, когда при блокировке одного IP атака через короткое время возобновлялась с другого в этой же подсети. Кстати по личной статистике в процентах 80 событий атаки идут из бывшей дружественной республики, что мне совсем не актуально для работы в обозримой перспективе. Остальные случаи да - "препарирую" индивидуально (блокирую по отдельным IP).
О! Спасибо за ответ! Я таки надеялся что у кого-то уже есть в копилке опыта подобный эксперимент.. Сталбыть положительного эффекта не наблюдается ? А отрицательный ?
Эффект может и есть, по крайней мере когда пишу письмо искренне надеюсь на это )) Но я сначала заношу адрес или всю подсесть в ЧС, и после этого в спокойной обстановке пишу на abuse. Из ЧС соответственно никого потом не убираю, так что проверить продолжаются атаки или нет - не могу, да и честно нет такой необходимости. Из отрицательного... скажем так частота атак от этого точно не зависит, закономерности точно не увидел :)
Эффект точно есть, но не для каждого провайдера.
Нам филиал отключили из-за трояна, который майнил и брутил.
В итоге очередная беседа про ИБ, ограничение доступа и чистка компов.
Мне конечно подкинули работы, но эффект был (:
Информационная безопасность IT
1.4K постов25.5K подписчиков
Правила сообщества
Обязательно к прочтению для авторов:
1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".
Обязательно к прочтению для всех:
Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.
Запрещены политические holy wars.
По решению модератора или администратора сообщества пользователь будет забанен за:
1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.
2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.
3. За обвинение в киберпреступной деятельности.
4. За нарушение прочих Правил Пикабу.