welinux.ru/Есть вопрос!

25.09.10 00:45 hate

Есть вопрос! — SSH honeypot

Интересует сабж - примерно каждые пять часов кто-то пытается брутфорсить пароли рута. Основной sshd перенес на абсолютно левый порт, мне это совсем не проблемно. Очень хочется узнать, что же они будут делать, если получат доступ к компу.
Просто запустить линукс в виртуалке и пробросить порты будет не очень хорошо - если там будет залита спамилка/червяк/прочие нехорошие вещи, то я окажусь в цепочке распространителей. Скрытность honeypot меня не особо (пока) волнует - пусть обнаруживают после входа.

Есть ли какие готовые и проверенные решения?

Похожие +5–

Теги: ssh honeyport security

: dr_magnus 25.09.10 02:00 # +0–

забей. просто забей. только что глянул свои логи, так ко мне каждую минуту кто-то коннект пытается поднять.
если тебя это напрягает, то почитай статейки по блокироке айпишника после нескольких неудачных коннектов на SSH.
а лучше, если у тебя нету никаких страшно секретных данных, просто забить.
любой айпишник, который светится в нете, подвергается подобным атакам. поставь лучше пароль понажденее или введи аутентификацию по ключам. и все будет нормально.

dr_magnus 25.09.10 02:12 # +1–

что же они будут делать, если получат доступ к компу

не получат при надежных паролях и ключах.
ну а если уж ты совсем лохонешся, то, скорее всего, будешь одной из точек ботнета какого-нить.

: hate 25.09.10 02:32 # ↑ +0–

интересует как минимум ПО этого ботнета + будет ли оно пытаться запустить какие-нибудь локальные атаки

xT 25.09.10 02:12 # +4–

кто-то пытается брутфорсить пароли рута

PermitRootLogin no

в sshd_config

hate 25.09.10 02:33 # ↑ +0–

давно уже стоит

main 25.09.10 18:29 # ↑ +-1–

И в чём тогда проблема?

: hate 25.09.10 18:44 # ↑ +0–

Очень хочется узнать, что же они будут делать, если получат доступ к компу.

ite 25.09.10 02:48 # +2–

можешь попробовать довольно любопытную программу, во FreeBSD называется knock. Суть ее в том, что 22 порт открывается только после того как ты постучишься по 3-м любым портам, все настройки указываются в конфигурационном файле, в Linux, думаю есть такая же утилита.

: main 25.09.10 18:33 # ↑ +-1–

А можешь и не пробовать никаких програмок.
http://0x0800.blogspot.com/2009/04/port-knocking.html

: flashvoid 25.09.10 07:09 # +3–

Народ.
Вопрос был не как защититься а как посмотреть что они будут делать.
Вопрос про хонипот интересный.

: albibek 25.09.10 11:31 # +1–

Единственное известное мне решение вообще это Honeyd. Сам не пробовал, проверенности не обещаю.

: stas_v 25.09.10 13:13 # +1–

У меня стоит kippo.

Заведён root с паролем admin, раза два в день боты пароль угадывают, заходят, но вываливаются не введя ни одной команды. Если же заходить интерактивно всё выглядит нормально.

Сам kippo ссылается на Kojoney, как на своего вдохновителя - думаю его попробовать.

: urandom 25.09.10 13:30 # +-1–

Используй не пароли, а ключи.

zivot_je_cudo 25.09.10 16:09 # +1–

Поставь виртуалку да понаблюдай.

hate 25.09.10 18:43 # ↑ +-2–

1. как? снифать сеть между основой ОС и виртуалкой? а если трафик будет шифрованый?
2. как разобрать изменения сделанные хакерами?
3. ОС в виртуалке - тоже ОС, следовательно, она может стать узлом ботнета, т.е. распространять спам/червей/порно/прочие гадости, что является не совсем законным и лишних денег на адвоката у меня нет.

: zivot_je_cudo 25.09.10 19:24 # ↑ +1–

Ставишь любимую виртуалку (xen, kvm, vz ...), ставишь туда систему с ssh, пробрасываешь 22 порт, ставишь OUTPUT -P DROP. Для наблюдения можешь использовать, например, osec или выбрать что-то другое.
Ты ведь понимаешь, что ломятся не люди, а ботнет? И что защититься от этого проще пареной репы, можно ограничить количество SYN на 22-ой порт в секунду, использовать портнокинг (предпочтительно iptables). Вижу, что порт ssh ты перенес, этот способ "защиты" строго на любителя.

: zivot_je_cudo 27.09.10 00:11 # ↑ +0–

Кстати, очень подробно можно понаблюдать с помощью LiLaLo.

: wiz 25.09.10 19:16 # +0–

поставь fail2ban и спи спокойно.

: mango 26.09.10 12:13 # +0–

в sshd_config

AllowUsers user1 user2 alex23 ivan13 demon6

Через пробел имена пользователей. Кроме указанных - хрен кого пустит.

—

De_Abler — « Есть вопрос! / Отвалился OpenGl» avpme — « Есть проблема! / Не работает ICQ в Pidgin 2.7.3» vovans — « Пятиминутка ненависти! / Linux в школах» philosoft — « Есть проблема! / Проблема с переключением языка» settler — « Есть проблема! / Не работает ICQ в Pidgin 2.7.3» Midler — « Talks! / Кризис внимания» wat_che — « Talks! / Кризис внимания» vovans — « Пятиминутка ненависти! / Linux в школах» razum2um — « Есть вопрос! / Есть ли в природе говорящие часы в консоли» ( 2 ) alff31 — « Talks! / Кризис внимания» razum2um — « Пятиминутка ненависти! / А почему не ... ?» ( -1 ) alff31 — « Talks! / Кризис внимания» ( 2 ) dront78 — « Скрипты / Нормализатор верстки и оформления текстового документа» dront78 — « Есть проблема! / Проблема с переключением языка» goblinyara — « Есть проблема! / Не работает ICQ в Pidgin 2.7.3» ( 1 ) goblinyara — « Есть проблема! / Не идет звук из динамиков Ubuntu 10.04 kernel 2.6.32-25 [Решено]»
Последние посты
Последние комментарии
Изменения
Черновики (все)
Избранное (всё)

Лучшие блоги (все 140) Tips & tricks (32) Есть вопрос! (25) Archlinux (24) How-to`s (22) Vim (21) Мой рабочий стол. (18) Linux Games (16) KDE (16) Скрипты (16) Debian (14)
Элита (все 2776 из 213 городов) muhas (255.9) Shtsh (140.3) Aesdana (132.1) cppmm (129) ZogG (123.05) h0rr0rr_drag0n (120.25) digiwhite (104.1) Minoru (98.45) ner_uto (98.4) LeniH (92.45)

В сети: Vzlom, doraneko, dr_lo

Новенькие: NightSovereign, paxlo, ormaturi, Joker, waterfly