在过去的几周里,我已经看到了数十甚至数百次从映射回 secureserver.net 的 IP 地址的入侵尝试。我知道这些是 GoDaddy 机器从谁是查找。他们的机器网络似乎发生了一些事情。每天我都会看到一台机器尝试以 root、admin 等身份通过 ssh 登录。我阻止了这些 ip 子网,并且每天都会在日志中显示一个新批次。
我找不到举报滥用行为的联系人。当我打电话给他们时,我只是从电话另一端的那个人那里得到了很多废话,他一直在要求我的帐号。我无法让他知道我不是客户,但担心他们的网络已被入侵。
有没有其他人注意到来自 GoDaddy 服务器的异常次数的入侵尝试?有人知道我应该向谁报告吗?
很奇怪,攻击来自secureserver.net 作为GoDaddy 的前客户,我只看到用于邮件服务的域名。参考:https ://login.secureserver.net/?app=wbe我会在有问题的 ip 上执行 whois 并将问题报告给技术支持/滥用顾问。此信息位于 whois 报告中。如果没有回复,请将您的投诉提交给黑名单服务提供商,您将得到回复。
在使用上述任何方法之前,我会使用此表格提交投诉。
我推荐Fail2ban来减轻登录攻击。 这是一个免费/开源的自动化解决方案,无需配置即可防止 SSH 登录尝试。
如果一个 IP 经常尝试登录但失败(iirc,默认为 10 分钟内尝试 10 次),Fail2ban 将告诉系统的防火墙丢弃该 IP 的流量一段时间(iirc,默认为 10 分钟)。Fail2ban 还会寻找特定的漏洞探测并且也可以阻止这些探测。
一旦您有了缓解措施,您就可以通过努力从源头上阻止问题来帮助他人。联系 GoDaddy 的滥用团队并告诉他们这个问题。希望他们可以使用您的日志来追踪问题的根源。
另请参阅SSHPsychos事件,其中 Cisco Talos 能够将全球三分之一的 SSH 登录扫描与单个网络相关联,随后 Level 3 Communications 有效地脱离了互联网。(攻击确实从另一个网络恢复,但每次攻击对攻击者来说比防御者更昂贵。)