hate 25.09.2010 00:45
Есть вопрос! — SSH honeypot
Интересует сабж - примерно каждые пять часов кто-то пытается брутфорсить пароли рута. Основной sshd перенес на абсолютно левый порт, мне это совсем не проблемно. Очень хочется узнать, что же они будут делать, если получат доступ к компу.Просто запустить линукс в виртуалке и пробросить порты будет не очень хорошо - если там будет залита спамилка/червяк/прочие нехорошие вещи, то я окажусь в цепочке распространителей. Скрытность honeypot меня не особо (пока) волнует - пусть обнаруживают после входа.
Есть ли какие готовые и проверенные решения?
что же они будут делать, если получат доступ к компу
не получат при надежных паролях и ключах.
ну а если уж ты совсем лохонешся, то, скорее всего, будешь одной из точек ботнета какого-нить.
интересует как минимум ПО этого ботнета + будет ли оно пытаться запустить какие-нибудь локальные атаки
кто-то пытается брутфорсить пароли рута
PermitRootLogin no
в sshd_config
Очень хочется узнать, что же они будут делать, если получат доступ к компу.
можешь попробовать довольно любопытную программу, во FreeBSD называется knock. Суть ее в том, что 22 порт открывается только после того как ты постучишься по 3-м любым портам, все настройки указываются в конфигурационном файле, в Linux, думаю есть такая же утилита.
А можешь и не пробовать никаких програмок.
http://0x0800.blogspot.com/2009/04/port-knocking.html
http://0x0800.blogspot.com/2009/04/port-knocking.html
Народ.
Вопрос был не как защититься а как посмотреть что они будут делать.
Вопрос про хонипот интересный.
Вопрос был не как защититься а как посмотреть что они будут делать.
Вопрос про хонипот интересный.
Единственное известное мне решение вообще это Honeyd. Сам не пробовал, проверенности не обещаю.
У меня стоит kippo.
Заведён root с паролем admin, раза два в день боты пароль угадывают, заходят, но вываливаются не введя ни одной команды. Если же заходить интерактивно всё выглядит нормально.
Сам kippo ссылается на Kojoney, как на своего вдохновителя - думаю его попробовать.
Заведён root с паролем admin, раза два в день боты пароль угадывают, заходят, но вываливаются не введя ни одной команды. Если же заходить интерактивно всё выглядит нормально.
Сам kippo ссылается на Kojoney, как на своего вдохновителя - думаю его попробовать.
Поставь виртуалку да понаблюдай.
1. как? снифать сеть между основой ОС и виртуалкой? а если трафик будет шифрованый?
2. как разобрать изменения сделанные хакерами?
3. ОС в виртуалке - тоже ОС, следовательно, она может стать узлом ботнета, т.е. распространять спам/червей/порно/прочие гадости, что является не совсем законным и лишних денег на адвоката у меня нет.
2. как разобрать изменения сделанные хакерами?
3. ОС в виртуалке - тоже ОС, следовательно, она может стать узлом ботнета, т.е. распространять спам/червей/порно/прочие гадости, что является не совсем законным и лишних денег на адвоката у меня нет.
Ставишь любимую виртуалку (xen, kvm, vz ...), ставишь туда систему с ssh, пробрасываешь 22 порт, ставишь OUTPUT -P DROP. Для наблюдения можешь использовать, например, osec или выбрать что-то другое.
Ты ведь понимаешь, что ломятся не люди, а ботнет? И что защититься от этого проще пареной репы, можно ограничить количество SYN на 22-ой порт в секунду, использовать портнокинг (предпочтительно iptables). Вижу, что порт ssh ты перенес, этот способ "защиты" строго на любителя.
Ты ведь понимаешь, что ломятся не люди, а ботнет? И что защититься от этого проще пареной репы, можно ограничить количество SYN на 22-ой порт в секунду, использовать портнокинг (предпочтительно iptables). Вижу, что порт ssh ты перенес, этот способ "защиты" строго на любителя.
если тебя это напрягает, то почитай статейки по блокироке айпишника после нескольких неудачных коннектов на SSH.
а лучше, если у тебя нету никаких страшно секретных данных, просто забить.
любой айпишник, который светится в нете, подвергается подобным атакам. поставь лучше пароль понажденее или введи аутентификацию по ключам. и все будет нормально.