Видео смотреть бесплатно

Смотреть узбекча видео

Официальный сайт isprras 24/7/365

Смотреть видео бесплатно

hate 25.09.2010 00:45

Есть вопрос!SSH honeypot

Интересует сабж - примерно каждые пять часов кто-то пытается брутфорсить пароли рута. Основной sshd перенес на абсолютно левый порт, мне это совсем не проблемно. Очень хочется узнать, что же они будут делать, если получат доступ к компу.
Просто запустить линукс в виртуалке и пробросить порты будет не очень хорошо - если там будет залита спамилка/червяк/прочие нехорошие вещи, то я окажусь в цепочке распространителей. Скрытность honeypot меня не особо (пока) волнует - пусть обнаруживают после входа.

Есть ли какие готовые и проверенные решения?


Тэги: honeyport security ssh
+ 5 -
Похожие Поделиться

dr_magnus 25.09.2010 02:00 #
+ 0 -
забей. просто забей. только что глянул свои логи, так ко мне каждую минуту кто-то коннект пытается поднять.
если тебя это напрягает, то почитай статейки по блокироке айпишника после нескольких неудачных коннектов на SSH.
а лучше, если у тебя нету никаких страшно секретных данных, просто забить.
любой айпишник, который светится в нете, подвергается подобным атакам. поставь лучше пароль понажденее или введи аутентификацию по ключам. и все будет нормально.
dr_magnus 25.09.2010 02:12 #
+ 1 -
что же они будут делать, если получат доступ к компу

не получат при надежных паролях и ключах.
ну а если уж ты совсем лохонешся, то, скорее всего, будешь одной из точек ботнета какого-нить.
hate 25.09.2010 02:32 #
+ 0 -
интересует как минимум ПО этого ботнета + будет ли оно пытаться запустить какие-нибудь локальные атаки
xT 25.09.2010 02:12 #
+ 4 -
кто-то пытается брутфорсить пароли рута
PermitRootLogin no
в sshd_config
hate 25.09.2010 02:33 #
+ 0 -
давно уже стоит
main 25.09.2010 18:29 #
+ -1 -
И в чём тогда проблема?
hate 25.09.2010 18:44 #
+ 0 -
Очень хочется узнать, что же они будут делать, если получат доступ к компу.
ite 25.09.2010 02:48 #
+ 2 -
можешь попробовать довольно любопытную программу, во FreeBSD называется knock. Суть ее в том, что 22 порт открывается только после того как ты постучишься по 3-м любым портам, все настройки указываются в конфигурационном файле, в Linux, думаю есть такая же утилита.
main 25.09.2010 18:33 #
+ -1 -
А можешь и не пробовать никаких програмок.
http://0x0800.blogspot.com/2009/04/port-knocking.html
flashvoid 25.09.2010 07:09 #
+ 3 -
Народ.
Вопрос был не как защититься а как посмотреть что они будут делать.
Вопрос про хонипот интересный.
albibek 25.09.2010 11:31 #
+ 1 -
Единственное известное мне решение вообще это Honeyd. Сам не пробовал, проверенности не обещаю.
stas_v 25.09.2010 13:13 #
+ 1 -
У меня стоит kippo.

Заведён root с паролем admin, раза два в день боты пароль угадывают, заходят, но вываливаются не введя ни одной команды. Если же заходить интерактивно всё выглядит нормально.

Сам kippo ссылается на Kojoney, как на своего вдохновителя - думаю его попробовать.
urandom 25.09.2010 13:30 #
+ -1 -
Используй не пароли, а ключи.
zivot_je_cudo 25.09.2010 16:09 #
+ 1 -
Поставь виртуалку да понаблюдай.
hate 25.09.2010 18:43 #
+ -2 -
1. как? снифать сеть между основой ОС и виртуалкой? а если трафик будет шифрованый?
2. как разобрать изменения сделанные хакерами?
3. ОС в виртуалке - тоже ОС, следовательно, она может стать узлом ботнета, т.е. распространять спам/червей/порно/прочие гадости, что является не совсем законным и лишних денег на адвоката у меня нет.
zivot_je_cudo 25.09.2010 19:24 #
+ 1 -
Ставишь любимую виртуалку (xen, kvm, vz ...), ставишь туда систему с ssh, пробрасываешь 22 порт, ставишь OUTPUT -P DROP. Для наблюдения можешь использовать, например, osec или выбрать что-то другое.
Ты ведь понимаешь, что ломятся не люди, а ботнет? И что защититься от этого проще пареной репы, можно ограничить количество SYN на 22-ой порт в секунду, использовать портнокинг (предпочтительно iptables). Вижу, что порт ssh ты перенес, этот способ "защиты" строго на любителя.
zivot_je_cudo 27.09.2010 00:11 #
+ 0 -
Кстати, очень подробно можно понаблюдать с помощью LiLaLo.
wiz 25.09.2010 19:16 #
+ 0 -
поставь fail2ban и спи спокойно.
mango 26.09.2010 12:13 #
+ 0 -
в sshd_config

AllowUsers user1 user2 alex23 ivan13 demon6

Через пробел имена пользователей. Кроме указанных - хрен кого пустит.

Смотреть видео онлайн

Онлайн видео бесплатно


Смотреть русское с разговорами видео

Online video HD

Видео скачать на телефон

Русские фильмы бесплатно

Full HD video online

Смотреть видео онлайн

Смотреть HD видео бесплатно

School смотреть онлайн