Недавно я настроил Nginx, открытый для всего мира, чтобы предоставлять API пользователям по всему миру.
Он получает много «подталкиваний» (т. е. попыток тестирования на уязвимости/взлома) с IP-адреса, зарегистрированного на хостинг-провайдера Hostway.ru.
Я использовал этот инструмент, чтобы узнать больше:https://bgp.he.net. Я связался с Hostway и попросил их провести расследование и прекратить эту деятельность — никакого ответа, ничего удивительного.
Существует ли какой-либо орган или глобальный черный список, куда я мог бы сообщить о такой деятельности, чтобы привлечь компанию к ответственности?
Я настроил свой nginx на отклонение всех запросов с этого IP. Что еще мне следует сделать? Я беспокоюсь, что они могут просто сменить IP/хост и начать все заново. Как мне защитить себя от такого рода трафика в долгосрочной перспективе?
Любая помощь приветствуется.
решение1
Проверьте наличие контакта для злоупотреблений напрямую к ним (не технические или торговые контакты). Отправьте очень подробный отчет с подробным описанием трафика и ссылкой на их собственные условия использования. Отсутствие контакта для злоупотреблений на их веб-сайте — плохой знак, не ждите от них особых действий.
В Интернете очень много вредоносного трафика, у вас не будет времени обо всем сообщить.
Внедрите локальные списки запретов, например, с помощью fail2ban. Рассмотрите возможность использования одного из многочисленных списков блокировки или API репутации хоста, некоторые из которых могут быть интегрированы в ваши элементы управления безопасностью.
Применяйте обновления безопасности быстро, как всегда. Не откладывайте обновление всего, с чем вы имеете дело публично, включая веб-серверы, веб-приложения и любые библиотеки, которые они используют.