我应该报告骇客企图吗？

我正在运行小型（基于Windows）服务器。当我检查日志时，看到稳定的（未成功的）猜测密码的黑客尝试流程。我应该尝试将这些尝试报告给源IP地址的所有者，还是现在认为这些尝试是完全正常的，无论如何也没有人会为它们做任何事情？

虽然答案可能在很大程度上取决于您要告知的代理机构，但我认为通常应该如此。实际上，由于监视和响应组织的滥用邮箱是我的主要职责之一，因此我可以肯定地说：“是的！”。我与其他安全组织的成员进行了同样的交谈，答案似乎主要包括：

• 如果IP上的Whois信息显示企业或大学，请报告
• 如果IP上的Whois信息显示了ISP，则不必理会

我当然不会告诉你要遵循这些规则，但我会建议对犯错误报告的一面。通常不需要太多的工作，并且可以真正帮助另一端的人。他们的理由是ISP经常不采取有意义的行动，因此他们会将信息归档。我可以说，我们将积极处理此事。我们不喜欢网络上被黑的机器，因为它们有扩散的趋势。

真正的诀窍是使您的回复和报告程序正规化，以便报告之间以及工作人员之间保持一致。我们至少需要以下内容：

1. 攻击系统的IP地址
2. 活动的时间戳（包括时区）
3. 您端系统的IP地址

如果您还可以包括提示您的日志消息样本，那么它也很有用。

通常，当我们看到这种行为时，也会在最合适的位置建立最合适范围的防火墙块。适当的定义将在很大程度上取决于正在发生的事情，您从事的业务类型以及基础架构是什么样的。范围可能从阻止主机上的单个攻击IP一直到不在边界处路由该ASN。

这是一种密码猜测攻击，称为蛮力攻击。最好的防御是确保用户密码很安全。另一个解决方案是使用多次失败的登录来锁定IP地址。蛮力攻击难以制止。

就像lynxman所说的，您真正能做的就是联系他们的ISP滥用部门并通知他们。我会在防火墙和服务器上都阻止该IP。其次，我还将在组策略中设置基于尝试的锁定（如果您具有AD）。只要您的密码很安全，我就不用担心，我有可以学习的服务器，并且整天都可以尝试登录。

不幸的是，这是完全正常的，大多数尝试都是通过也遭到黑客入侵的其他服务器生成的。

最好的办法是，如果您看到这些攻击持续地来自唯一的IP地址，并且怀疑服务器被黑客入侵，则通过电子邮件将该服务器上的滥用/系统管理员发送出去，以便他们解决问题，这很容易造成损失当您超载并维护数百个服务器时跟踪服务器。

在任何其他情况下，进行防火墙保护，筛选或忽略通常是一个好习惯。

您的问题在于，其中许多可能来自不同国家/地区的受感染机器，这些机器可能是家庭用户的PC，并且可能采用动态寻址方案。

这意味着机器的所有者不知道他们在转发攻击，也不在乎，他们可能在法律确实不在乎的国家，而ISP可能不在乎，无论如何都赢了不想拖曳日志以查看谁在使用该IP地址。

最好的计划是将lynxman，Jacob和packs组合在一起（通常将其阻止），但是设置脚本以查看是否有常见的罪魁祸首，并将您的通讯专门发送给这些ISP的Abuse部门。

这样可以更好地利用您的时间。