Install Wizard
Поднял свой VPS с ханипотом - любопытно знать, чем именно промышляют люди, постоянно долбящиеся в порт 22 по всему Интернету. Уже спустя 10 минут вот такой улов. Первые запросы начали приходить буквально спустя минуту после запуска ханипота. То есть любой…
В комментариях задали справедливый вопрос - а ради чего боты (а в подавляющем большинстве этим занимаются именно автоматические скрипты) сканируют SSH-порты серверов? И хотя долгосрочные планы у разных атакующих могут быть разными, за сутки я уже собрал приличный урожай логов, из которых можно судить о конкретных действиях, стоит сканеру подобрать пароль:
1) Начальный сбор информации (скрины 1-4). Инфа о системе, железе, установленном и запущенном софте - всё, что может как-то свидетельствовать о возможной пользе уязвимого хоста. На скрине 3, кстати, сканер перепутал ханипот с микротиком (или, скорее, действует "на авось")
2) Закрепление (скрины 5-7). Обычно это заключается в попытке добавить свой SSH-ключ, очевидно, для беспрепятственного логина позже
3) Ботнет/малварь. Относительно остальных редкий, но тем не менее в целом очень распространённый вид деятельности - это заражение серверов вредоносами. Мне пока попадались майнеры, а также (неудивительно) ботнет Mirai (скрин 8).
1) Начальный сбор информации (скрины 1-4). Инфа о системе, железе, установленном и запущенном софте - всё, что может как-то свидетельствовать о возможной пользе уязвимого хоста. На скрине 3, кстати, сканер перепутал ханипот с микротиком (или, скорее, действует "на авось")
2) Закрепление (скрины 5-7). Обычно это заключается в попытке добавить свой SSH-ключ, очевидно, для беспрепятственного логина позже
3) Ботнет/малварь. Относительно остальных редкий, но тем не менее в целом очень распространённый вид деятельности - это заражение серверов вредоносами. Мне пока попадались майнеры, а также (неудивительно) ботнет Mirai (скрин 8).
group-telegram.com/installationwizard/1611
Create:
Last Update:
Last Update:
В комментариях задали справедливый вопрос - а ради чего боты (а в подавляющем большинстве этим занимаются именно автоматические скрипты) сканируют SSH-порты серверов? И хотя долгосрочные планы у разных атакующих могут быть разными, за сутки я уже собрал приличный урожай логов, из которых можно судить о конкретных действиях, стоит сканеру подобрать пароль:
1) Начальный сбор информации (скрины 1-4). Инфа о системе, железе, установленном и запущенном софте - всё, что может как-то свидетельствовать о возможной пользе уязвимого хоста. На скрине 3, кстати, сканер перепутал ханипот с микротиком (или, скорее, действует "на авось")
2) Закрепление (скрины 5-7). Обычно это заключается в попытке добавить свой SSH-ключ, очевидно, для беспрепятственного логина позже
3) Ботнет/малварь. Относительно остальных редкий, но тем не менее в целом очень распространённый вид деятельности - это заражение серверов вредоносами. Мне пока попадались майнеры, а также (неудивительно) ботнет Mirai (скрин 8).
1) Начальный сбор информации (скрины 1-4). Инфа о системе, железе, установленном и запущенном софте - всё, что может как-то свидетельствовать о возможной пользе уязвимого хоста. На скрине 3, кстати, сканер перепутал ханипот с микротиком (или, скорее, действует "на авось")
2) Закрепление (скрины 5-7). Обычно это заключается в попытке добавить свой SSH-ключ, очевидно, для беспрепятственного логина позже
3) Ботнет/малварь. Относительно остальных редкий, но тем не менее в целом очень распространённый вид деятельности - это заражение серверов вредоносами. Мне пока попадались майнеры, а также (неудивительно) ботнет Mirai (скрин 8).
BY Install Wizard
Share with your friend now:
group-telegram.com/installationwizard/1611