Ich habe vor Kurzem ein weltweit offenes Nginx eingerichtet, um Benutzern weltweit eine API bereitzustellen.
Es wird stark „angestupst“ (z. B. auf Schwachstellen getestet/Hacking-Versuche unternommen) von einer IP-Adresse, die beim Hosting-Anbieter Hostway.ru registriert ist.
Ich habe dieses Tool verwendet, um mehr herauszufinden:https://bgp.he.net. Ich habe Hostway kontaktiert und sie gebeten, dies zu untersuchen und dieser Aktivität ein Ende zu setzen – keine Antwort, keine Überraschung.
Gibt es irgendeine Behörde oder eine globale schwarze Liste, der ich diese Aktivitäten melden könnte, um das Unternehmen zur Rechenschaft zu ziehen?
Ich habe meinen Nginx so konfiguriert, dass er jetzt alle Anfragen von dieser IP ablehnt. Gibt es sonst noch etwas, das ich tun sollte? Ich mache mir Sorgen, dass sie einfach IP/Host ändern und von vorne beginnen können. Wie schütze ich mich langfristig vor dieser Art von Datenverkehr?
Jede Hilfe ist willkommen.
Antwort1
Suchen Sie nach einem Kontakt, der sich bei Missbrauch direkt an sie wendet (keine technischen oder Vertriebskontakte). Senden Sie einen sehr genauen Bericht, in dem der Datenverkehr detailliert beschrieben wird und die eigenen Nutzungsbedingungen zitiert werden. Wenn Sie auf ihrer Website keinen spezifischen Kontakt für Missbrauch finden, ist das ein schlechtes Zeichen. Erwarten Sie nicht viel von ihnen.
Im Internet herrscht eine Menge unangenehmer Verkehr, und Sie werden kaum die Zeit haben, alles zu melden.
Implementieren Sie lokale Sperrlisten, beispielsweise mit fail2ban. Erwägen Sie die Verwendung einer der zahlreichen Sperrlisten oder Host-Reputation-APIs, von denen einige in Ihre Sicherheitskontrollen integriert werden können.
Führen Sie Sicherheitsupdates wie immer schnell durch. Verzögern Sie nicht die Aktualisierung öffentlich zugänglicher Elemente, einschließlich Webservern, Webanwendungen und allen von ihnen verwendeten Bibliotheken.