ระบบกำลังแจ้งเตือน นี่คือการโจมตีจริง – หรือสัญญาณเตือนเท็จ?

07:43 น. คุณเปิดแล็ปท็อป การแจ้งเตือนกะพริบ CrowdSec บล็อก 47 การเชื่อมต่อ Pi-hole รายงาน DNS query ผิดปกติ Container รีสตาร์ทโดยที่คุณไม่ได้เริ่ม

นี่คือการโจมตี? หรือปกติ?

สามสัญญาณที่บ่งชี้การโจมตีจริง

1. ความล้มเหลวในการยืนยันตัวตนในปริมาณผิดปกติ SSH ล้มเหลว 5 ครั้งตอนเช้า — อาจเป็นพนักงานที่ลืมรหัสผ่าน ล้มเหลว 5,000 ครั้งในหนึ่งชั่วโมงจาก 40 IP ต่างกัน — นั่นคือการโจมตี brute-force CrowdSec จดจำรูปแบบนี้โดยอัตโนมัติและบล็อกแหล่งที่มา

2. ทราฟิกขาออกไปยังปลายทางที่ไม่รู้จัก หากการเชื่อมต่อปกติปรากฏขึ้นไปยัง IP ในภูมิภาคที่ไม่คาดคิด — นั่นคือสัญญาณเตือน โดยเฉพาะถ้าเกิดขึ้นตอนกลางคืน

3. กระบวนการที่คุณไม่ได้เริ่ม สคริปต์ขุดเหมืองที่กิน CPU พอร์ตที่เปิดกะทันหัน ผู้ใช้ใหม่ในรายการ ถ้ามีอะไรรันบนระบบที่คุณอธิบายไม่ได้ — ถือว่าเป็นภัยคุกคาม

สัญญาณเตือนเท็จที่พบบ่อยสามอันดับ

CrowdSec บล็อก IP ของคุณเอง เกิดขึ้นเมื่อ IP ไดนามิกและเข้าสู่ระบบผิดหลายครั้ง วิธีแก้: เพิ่ม subnet ของตัวเองใน whitelist

งาน backup ในเวลาผิดปกติ ถ้า cron backup รันตี 3 และคุณอ่าน log ตอน 7 โมง จะเห็น load spike เมื่อไม่มีใครทำงาน นั่นไม่ใช่การบุกรุก — นั่นคือ backup ที่ทำงานถูกต้อง

การอัพเดตอัตโนมัติ Watchtower, apt-cron, Docker images ที่อัพเดตตัวเอง — ทั้งหมดสร้างการเชื่อมต่อเครือข่าย การรีสตาร์ท และ load spike สั้นๆ

กฎที่ใช้ได้เสมอ

เมื่อไม่แน่ใจว่าข้อมูลหรือ credentials อาจถูกเปิดเผย: ถือว่าเป็นการโจมตีจริง ต้นทุนของสัญญาณเตือนเท็จคือเช้าวันที่เสียไป ต้นทุนของการโจมตีจริงที่ถูกเพิกเฉยอาจร้ายแรงมาก