Was man sieht, wenn man 30 Tage lang einen SSH-Honeypot betreibt

 (blog.sofiane.cc)
12 Punkte von GN⁺ 2024-06-17 | 3 Kommentare | Auf WhatsApp teilen
  • Honeypot: Ein System, das Angriffe erkennt und protokolliert, wenn ein Angreifer versucht, in ein System einzudringen
    • SSH-Honeypot: Ein Honeypot, der auf SSH abzielt
  • Ergebnisse aus 30 Tagen Betrieb eines SSH-Honeypots
    • In 30 Tagen gab es insgesamt 11.599 Login-Versuche, im Durchschnitt 386 pro Tag
    • Die am häufigsten verwendeten Benutzernamen waren root, 345gs5662d34, admin, pi usw. Weitere waren ubuntu, ubnt, support, user, oracle usw.
      • 345gs5662d34 könnte die Standard-Anmeldedaten eines Polycom-CX600-IP-Telefons sein.
    • Die am häufigsten verwendeten Passwörter waren 345gs5662d34, 3245gs5662d34, admin, 123456, password usw.
  • Die Analyse der nach dem Login ausgeführten Befehle zeigte die folgenden verdächtigen Aktivitäten:
    • Am häufigsten ausgeführte Befehle
      • echo -e “\x6F\x6B”: 6.775-mal
      • cd ~; chattr -ia .ssh; lockr -ia .ssh: 1.016-mal
      • uname -s -v -n -r -m: 320-mal
    • Nach Ausführung des oinasf-Skripts wurde mit dem Befehl uname -s -m versucht, Systeminformationen zu sammeln
    • Über den Befehl ./ip cloud print wurde versucht, MikroTik-Router anzugreifen
    • Der Kryptowährungs-Miner mdrfckr wurde installiert und andere Miner-Prozesse wurden beendet
    • Es wurde versucht, Malware für die MIPS-Architektur zu verbreiten (hauptsächlich gegen Router und IoT-Geräte)
    • Das Skript Sakura.sh, ein Teil der Gafgyt-(BASHLITE)-Malware, wurde ausgeführt
      • Gafgyt ist ein Botnet, das IoT-Geräte und Linux-Systeme infiziert und Funktionen wie DDoS-Angriffe besitzt
      • Es versucht, Geräte mithilfe schwacher oder standardmäßiger Passwörter sowie bekannter Schwachstellen zu übernehmen
      • Es existiert seit 2014 und hat sich zu mehreren Varianten weiterentwickelt, die DDoS-Angriffe ausführen können

Meinung von GN⁺

  • Honeypots sind nützlich, um Angriffsmuster zu analysieren und Abwehrstrategien zu entwickeln.
  • Daran wird deutlich, wie riskant die Verwendung von Standard-Benutzernamen und -Passwörtern ist.
  • IoT-Geräte und Router sind besonders verwundbar, daher sollten die Sicherheitseinstellungen verstärkt werden.
  • Malware wie Krypto-Miner verschwendet Systemressourcen und stellt ein Sicherheitsrisiko dar.
  • Kontinuierliches Monitoring und Updates sind notwendig, um auf neue Sicherheitsbedrohungen vorbereitet zu sein.

Verwandte Beiträge

3 Kommentare

 
nullptr 2024-06-17

Ich habe nachgesehen, weil 345gs5662d34 häufig auftauchte, und es heißt, dass es sich bei bestimmten Tastaturen um password handeln soll ( https://isc.sans.edu/diary/Common+usernames+submitted+to+honeypots/… ), aber sicher weiß ich das nicht...
 
cosine20 2024-06-17

Könnte sich ein bisschen wie votmdnjem (Passwort) anfühlen.
 
GN⁺ 2024-06-17
Hacker-News-Kommentare

  • Analyse von Logs selbst gehosteter Mailserver und Firewalls: Es wurden Skripte eingerichtet, um anomalen Traffic zu blockieren, und Scanner-Netzwerke von Internet-Sicherheitsfirmen wurden gesperrt, wodurch sich unnötiger Traffic um mehr als 50 % verringerte.

  • Sicherheitsprobleme nach erneuter Aktivierung der Passwortanmeldung: Nach der vorübergehenden Aktivierung der Passwortanmeldung gab es Tausende Login-Versuche, von denen die meisten offenbar aus China stammten.

  • Visualisierung von Scannern: Die Standorte und ASNs der Scanner wurden visualisiert, um ein besseres Verständnis zu ermöglichen. VPS-Anbieter mit strengen Prüfverfahren helfen dabei, Scanner-Aktivitäten zu reduzieren.

  • SSH-Sicherheitseinstellungen: Es wird empfohlen, zur Härtung des SSH-Servers den Port zu ändern, die Passwortauthentifizierung zu deaktivieren und nur bestimmte Benutzer zuzulassen.

  • SSH nur mit Public-Key-Authentifizierung: Wenn ausschließlich Public-Key-Authentifizierung verwendet wird, bringen zusätzliche Sicherheitstools wie fail2ban keinen großen Mehrwert; stattdessen wird eine zusätzliche Schutzschicht wie ein VPN empfohlen.

  • Blockieren chinesischer IPs: Da die meisten SSH-Login-Versuche aus China stammen, werden chinesische IPs blockiert und bei Bedarf vorübergehend wieder freigegeben.

  • Erfahrungen mit dem Betrieb eines anonymen FTP-Servers: Es wird eine Erfahrung aus den frühen 2000er-Jahren geteilt, in denen man beim Betrieb eines anonymen FTP-Servers leicht an die neuesten Crack-Programme kam.

  • Positive Seiten des Self-Hostings: Alles, was dem Internet ausgesetzt ist, wird irgendwann von jemandem missbraucht werden wollen; deshalb ist es wichtig, das eigene Verständnis für Sicherheit zu vertiefen.

  • Unbekannter Befehl lockr: Es ließ sich kein Verweis auf den Befehl lockr finden; beobachtet wurde vor allem, dass Malware ihn zusammen mit dem Befehl chattr ausführt.

  • MikroTik-Router und Aktivitäten von Angreifern: Über die Cloud-DNS-Funktion von MikroTik-Routern prüfen Angreifer die dynamischen DNS-Einträge des Routers, um auch bei Änderungen der IP-Adresse weiterhin zugreifen zu können.