Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Если ты хоть раз админил сервер, то точно знаешь: авторизацию по паролю нужно отключить или серьезно ограничить — белым списком, VPN-шлюзом или еще как‑то. Мы решили проверить, что будет, если этого не сделать, и сейчас покажем, что получится.
warning
Вся информация предоставлена исключительно в ознакомительных целях. Автор и редакция не несут ответственности за любой возможный вред, причиненный с использованием сведений из этой статьи.
Встать под атаку и посмотреть, что будет, — это лучший способ изучить, как работают хакеры. Это мы и сделали — купили несколько серверов в разных подсетях и засели в засаде. Первый же неосторожный бот попался всего через 7 секунд, а меньше чем через сутки мы засекли больше 12 тысяч гостей на одном только SSH. Не мудрено, что рано или поздно учетные данные ко многим серверам подбираются, сами серверы продолжают черное дело своих создателей, а в свободное время частенько копают биткоины.
Мы рассмотрим атаки по нескольким протоколам: SSH — как наиболее популярный, Telnet, распространенный в мире IoT, и FTP, куда ломятся, чтобы залить шелл для дальнейшей атаки или заразить исполняемые файлы. На один только SSH за время теста к нам постучались 986437 раз.
Для чего используют чужие машины
Со взломанного «умного» устройства можно атаковать остальную сеть, проводить DDoS, майнить криптовалюты, слать спам и заниматься более изощренными вещами вроде DNS poisoning или перехвата трафика.
Часто злоумышленники поднимают на захваченных машинах прокси‑серверы. Это ходовой в теневой части интернета товар, даже при беглом поиске мы нашли несколько десятков предложений. При этом обычно прокси продаются по подписке, а не разово.
Средний ценник за 100 штук – порядка 25 долларов, но российские прокси ценятся куда дешевле – около 12 долларов. За элитные прокси в одни руки хотят по 3-4 доллара за IP, при этом расходятся они все равно как горячие пирожки. Видимо, для постоянных клиентов предусмотрены скидки, не заявленные публично.
Мы установили ханипоты на два сервера. Первый изначально для этого исследования не предназначался, так что часть статистики с него не включает пароли. На втором сервере сразу были ханипоты.
В какой‑то момент стандартный SSH мы перенесли на порт 404 («404 SSH Service Not Found», ага) на обоих серверах, а штатный 22 порт занял ханипот. Но ни один бот его после этого не нашел. Как видишь, заезженная рекомендация переносить SSH на неожиданные порты имеет смысл, особенно когда 22 порт открыт, но не подает виду, что нужный сервис есть где‑то еще.
Выборка в итоге получилась небольшая, поэтому мы расширили статистику, проанализировав логи со взломанных ботов.
Вот сами ханипоты, которые мы использовали для разных протоколов. Естественно, существует множество других решений, в том числе коммерческих, но их перечисление и сравнение — тема для отдельной статьи.
Простой Telnet логгер, в лог пишет просто пары логин‑пароль. IP-адреса тоже записываются, но в соседний файл и без связи с конкретной парой логин‑пароль, что неудобно. Завелся сразу и лишних настроек не требует.
Записывает в лог IP, логин и пароль. Каждая запись помечается временной меткой, чего в Telnet логгере нет. Информацию о времени можно использовать, чтобы строить продвинутые графики, вроде зависимости интенсивности атак от времени суток или дня недели, но делать это мы не будем – нас в данном случае интересует сам факт атаки и используемые техники.
Первые попытки перебора появились уже через 7 секунд после активации ханипота.
[Sun Jan 10 22:40:41 2021] ssh-honeypot 0.1.0 by Daniel Roberson started on port 22. PID 4010913
[Sun Jan 10 22:40:49 2021] 196.*.*.166 supervisor qwer1234
[Sun Jan 10 22:41:16 2021] 59.*.*.186 vyatta 123
[Sun Jan 10 22:41:38 2021] 207.*.*.45 root muiemulta
Этим протоколом интересовались меньше всего. Возможно, это связано с тем, что ханипот для FTP на популярных языках нам найти не удалось, так что использовали что нашли. Этот ханипот даже при не очень детальном рассмотрении «светит» тем, что написан на Twisted и тем самым отпугивает некоторые ботнеты и не самых тупых атакующих.
Сканирование ханипота nmap
Источник: xakep.ru