7:43 sáng. Bạn mở máy tính. Một cảnh báo đang nhấp nháy. CrowdSec đã chặn 47 kết nối. Pi-hole báo cáo các truy vấn DNS bất thường. Một container đã khởi động lại mà bạn không khởi động.
Đây là tấn công? Hay bình thường?
Ba tín hiệu cho thấy tấn công thật
1. Lỗi xác thực với số lượng bất thường. Năm lần đăng nhập SSH thất bại buổi sáng — có thể là nhân viên quên mật khẩu. Năm nghìn lần thất bại trong một giờ từ 40 địa chỉ IP khác nhau — đó là tấn công brute-force. CrowdSec tự động nhận dạng mẫu này và chặn các nguồn.
2. Lưu lượng ra ngoài đến đích không xác định. Nếu xuất hiện kết nối thường xuyên đến các địa chỉ IP ở khu vực bất ngờ — đó là tín hiệu cảnh báo. Đặc biệt nếu xảy ra vào ban đêm.
3. Tiến trình bạn không khởi động. Một script đào coin đang ngốn CPU. Một cổng đột nhiên mở. Người dùng mới trong danh sách. Nếu có gì đó chạy trên hệ thống mà bạn không giải thích được — hãy coi đó là mối đe dọa.
Ba báo động giả phổ biến nhất
CrowdSec chặn IP của bạn. Xảy ra khi bạn có IP động và đăng nhập sai nhiều lần. Giải pháp: thêm subnet của mình vào whitelist.
Backup chạy vào giờ bất thường. Nếu cron backup chạy lúc 03:00 và bạn đọc log lúc 07:00, bạn thấy spike tải khi không ai làm việc. Đó không phải xâm nhập — đó là backup đang hoạt động đúng.
Cập nhật tự động. Watchtower, apt-cron, Docker images tự cập nhật — tất cả tạo ra kết nối mạng, khởi động lại và spike tải ngắn.
Quy tắc luôn áp dụng
Khi bạn không chắc liệu dữ liệu hoặc thông tin đăng nhập có thể bị xâm phạm: hãy coi đó là tấn công thật. Chi phí báo động giả là một buổi sáng mất. Chi phí tấn công thật bị bỏ qua có thể là thảm họa.