Как правильно «жаловаться», или что делать, когда ваш сайт атакуют

Системные администраторы – специалисты, на которых иногда держится работа целой компании. Чтобы немного облегчить жизнь админов, наши специалисты по кибербезопасности подготовили короткий чек-лист действий, которые необходимо делать в случае атаки ресурсов компании злоумышленником. Сразу предупредим, что наши советы не спасут от массовых DDoS-атак. Но помогут в случае попыток единичных взломов сайтов или сетевого оборудования компании.

Представим обычный рабочий день. Вы выполняете рабочие задачи, однако замечаете в сислогах роутера подозрительные действия. Кто-то активно подбирает к нему пароль и вы видите с какого именно ip-адреса злоумышленник это делает. Так каковы ваши действия? Думаю большинство позвонит в техподдержку провайдера компании и оставит заявку с жалобой на конкретный ip-адрес и просьбой заблокировать его. Однако провайдера такая ситуация не совсем касается и вряд ли он бросит все, чтобы помогать вам. Так что же делать?

Вам необходимо собрать конкретную информацию об ip-адресе злоумышленника и отправить жалобу в правильное место и в правильное время.

Для начала разберемся с сервисами по сбору информации о злоумышленнике. Сегодня существуют бесплатные решения, позволяющие установить прямую принадлежность ip-адреса к конкретному домену и иногда даже выяснить адрес злоумышленника.

Первый сервис — Talos Intelligence от Cisco. 

"Пробив" ip-адрес злоумышленника вы сможете узнать следующую информацию:

• местонахождение, с которого хакер пытается сломать ваш роутер — конкретный регион и город;
• принадлежность к конкретному домену, владельцу домена — в большинстве случаев компанию, которой он принадлежит;
• и даже проверить репутацию ip-адреса. Что-то вроде справки о несудимости, но в онлайн-мире. 

Для простоты ваша репутация будет представлена одним из трёх вариантов: good, neutral или bad. "Good" означает, что с адреса не отправлялись спам-листы за последний год. "Neutral" — спам есть, однако в незначительном количестве. И "bad" указывает на отправку большого количества спама из email-адреса.

Выяснив конкретную компанию, вы уже можете отправить прямую жалобу на техподдержку, однако есть более действенный способ. Сегодня у каждого провайдера, компании есть отдельная почта для такого рода жалоб — abuse@”...........”

Вам достаточно сделать скриншот логов или загрузить их с роутера компании, прикрепить к письму с указанием ip-адреса пользователя, пытающегося взломать ваш роутер. И ждать действий со стороны провайдера или компании. Указание конкретной информации и отправка на целевую почту "abuse" ускорит процесс блокировки злоумышленника.

Другой сервис, который поможет пробить такую ​​информацию – 2ip.

"Проверив" ip-адрес на этом ресурсе вы также получите схожую информацию: местонахождение, имя провайдера или компании, владельца домена и другую.

Далее действуем по схеме, описанной на примере онлайн-сервиса Talos Intelligence от Cisco.

Такие простые шаги и отправка жалобы на профильную почту ускорят процесс блокировки злоумышленника и помогут защитить корпоративные ресурсы вашей компании.

Раньше мы писали, что такое DDoS-атака и почему хакеры могут атаковать ваш сайт.