Staitisticí ar feadh 24 uair an chloig tar éis pota meala a shuiteáil ar nód Aigéan Digiteach i Singeapór
Pew Pew! Let tús láithreach leis an léarscáil ionsaí
Taispeánann ár léarscáil iontach fionnuar na ASNanna uathúla a cheangail lenár bpota meala Cowrie laistigh de 24 uair an chloig. Freagraíonn buí do naisc SSH, agus freagraíonn dearg do Telnet. Is minic a théann beochan den sórt sin i bhfeidhm ar bhord stiúrthóirí na cuideachta, rud a chuidíonn le tuilleadh maoinithe a fháil le haghaidh slándála agus acmhainní. Tá luach éigin ag baint leis an léarscáil, áfach, a thaispeánann go soiléir scaipeadh geografach agus eagraíochtúil na bhfoinsí ionsaithe ar ár n-óstach i díreach 24 uair an chloig. Ní léiríonn an beochan an méid tráchta ó gach foinse.
Cad is léarscáil Pew Pew ann?
Léarscáil Pew Pew - An bhfuil , de ghnáth beoite agus an-álainn. Is bealach iontach é do tháirge a dhíol, a d'úsáid Norse Corp. Chríochnaigh an chuideachta go dona: d'éirigh sé amach gurb iad beochan álainn an t-aon bhuntáiste a bhí acu, agus d'úsáid siad sonraí blúirí le haghaidh anailíse.
Déanta le Bileoga
Dóibh siúd ar mian leo léarscáil ionsaithe a dhearadh don scáileán mór san ionad oibríochtaí (is breá le do boss é), tá leabharlann ann . Déanaimid é a chomhcheangal leis an breiseán , seirbhís Maxmind GeoIP - .
WTF: cad é an pota meala Cowrie seo?
Is córas é Honeypot a chuirtear ar an líonra go sonrach chun ionsaitheoirí a mhealladh. Is gnách go mbíonn naisc leis an gcóras mídhleathach agus ligeann siad duit an t-ionsaitheoir a bhrath ag baint úsáide as logaí mionsonraithe. Ní hamháin go stóráiltear logaí faisnéis naisc rialta, ach freisin faisnéis seisiúin a nochtann teicnící, tactics agus nósanna imeachta (TTP) ionróir.
cruthaíodh do Taifid naisc SSH agus Telnet. Is minic a chuirtear potaí meala den sórt sin ar an Idirlíon chun uirlisí, scripteanna agus hóstach na n-ionsaitheoirí a rianú.
Mo theachtaireacht do chuideachtaí a cheapann nach ndéanfar ionsaí orthu: "Tá tú ag breathnú go dian."
— Séamas Snook
Cad atá sna logs?
Líon iomlán na nasc
Rinneadh iarrachtaí ceangail arís agus arís eile ó go leor óstach. Is gnách é seo, ós rud é go bhfuil liosta iomlán dintiúir ag scripteanna ionsaithe agus déan iarracht roinnt teaglaim. Tá Pota Meala Cowrie cumraithe chun glacadh le teaglaim áirithe d’ainmneacha úsáideora agus pasfhocail. Tá sé seo cumraithe i comhad úsáideora.db.
Tíreolaíocht na n-ionsaithe
Ag baint úsáide as sonraí geolocation Maxmind, chomhaireamh mé líon na nasc ó gach tír. Tá an Bhrasaíl agus an tSín chun tosaigh le corrlach leathan, agus is minic a bhíonn go leor torainn ó scanóirí ag teacht ó na tíortha seo.
Úinéir bloc líonra
Is féidir le taighde a dhéanamh ar úinéirí bloic líonra (ASN) eagraíochtaí a aithint a bhfuil líon mór óstach ionsaithe acu. Ar ndóigh, i gcásanna den sórt sin ba chóir duit cuimhneamh i gcónaí go dtagann go leor ionsaithe ó óstaigh ionfhabhtaithe. Tá sé réasúnta glacadh leis nach bhfuil formhór na n-ionsaitheoirí dúr go leor chun an Líonra a scanadh ó ríomhaire baile.
Poirt oscailte ar chórais ionsaithe (sonraí ó Shodan.io)
Rith an liosta IP trí scoth aithníonn go tapa córais le calafoirt oscailte agus cén sórt poirt iad seo. Léiríonn an figiúr thíos comhchruinniú na gcalafort oscailte de réir tíre agus eagraíochta. Bheadh sé indéanta bloic de chórais i gcontúirt a aithint, ach laistigh de sampla beag níl aon rud gan íoc le feiceáil, ach amháin i gcás líon mór 500 calafort oscailte sa tSín.
Lorg suimiúil é an líon mór córas sa Bhrasaíl a bhfuil gan oscailt 22, 23 nó poirt eile, de réir Censys agus Shodan. De réir dealraimh, is naisc iad seo ó ríomhairí úsáideoirí deiridh.
Róbónna? Ní gá
Sonraí do phoirt 22 agus 23 léirigh siad rud éigin aisteach an lá sin. Ghlac mé leis gur ó róbónna a thagann formhór na scananna agus na n-ionsaithe pasfhocal. Scaipeann an script thar chalafoirt oscailte, ag tomhas pasfhocail, agus cóipeann sé é féin ón gcóras nua agus leanann sé ag scaipeadh ag baint úsáide as an modh céanna.
Ach anseo is féidir leat a fheiceáil nach bhfuil ach líon beag óstach a scanadh telnet ag port 23 ar oscailt don taobh amuigh. Ciallaíonn sé seo go bhfuil na córais i gcontúirt ar bhealach éigin eile, nó go bhfuil ionsaitheoirí ag rith scripteanna de láimh.
Naisc bhaile
Toradh suimiúil eile ab ea an líon mór úsáideoirí baile sa sampla. Trí úsáid a bhaint as cuardaigh droim ar ais D’aithin mé 105 nasc ó ríomhairí baile ar leith. I gcás go leor nasc baile, taispeánann cuardach DNS droim ar ais an t-óstainm leis na focail dsl, baile, cábla, snáithín, agus mar sin de.
Foghlaim agus Fiosraigh: Ardaigh Do Phota Meala Féin
Scríobh mé le déanaí teagaisc gairid ar conas . Mar a luadh cheana, inár gcás d'úsáideamar Digital Ocean VPS i Singeapór. Ar feadh 24 uair an chloig de anailís, bhí an costas literally cúpla cent, agus ba é an t-am le chéile ar an gcóras ná 30 nóiméad.
In ionad Cowrie a reáchtáil ar an idirlíon agus an torann go léir a ghabháil, is féidir leat leas a bhaint as pota meala ar do líonra áitiúil. Socraigh fógra i gcónaí má sheoltar iarratais chuig calafoirt áirithe. Is éard atá i gceist leis seo ná ionsaitheoir laistigh den líonra, nó fostaí aisteach, nó scanadh leochaileachta.
Torthaí
Tar éis féachaint ar ghníomhartha ionsaitheoirí thar thréimhse XNUMX uair an chloig, bíonn sé soiléir go bhfuil sé dodhéanta foinse soiléir ionsaithe a aithint in aon eagraíocht, tír, nó fiú córas oibriúcháin.
Léiríonn dáileadh leathan na bhfoinsí go bhfuil torann scanadh seasmhach agus nach bhfuil baint aige le foinse ar leith. Ní mór do dhuine ar bith a oibríonn ar an Idirlíon a chinntiú go bhfuil a gcóras leibhéil slándála éagsúla. Réiteach coiteann agus éifeachtach le haghaidh SSH bogfaidh an tseirbhís chuig ardphort randamach. Ní chuireann sé seo deireadh leis an ngá atá le cosaint phasfhocal agus monatóireacht dhian, ach ar a laghad cinntíonn sé nach bhfuil na logs clogged trí scanadh leanúnach. Is dóichí gur ionsaithe spriocdhírithe iad naisc ardphoirt, rud a d’fhéadfadh a bheith suimiúil duit.
Is minic a bhíonn calafoirt oscailte telnet ar ródairí nó ar ghléasanna eile, mar sin ní féidir iad a aistriú go dtí calafort ard go héasca. и Is é an t-aon bhealach lena chinntiú go bhfuil ballaí dóiteáin nó míchumasaithe ag na seirbhísí seo. Más féidir, níor cheart duit Telnet a úsáid ar chor ar bith; níl an prótacal seo criptithe. Más gá duit é agus mura féidir leat a dhéanamh gan é, déan monatóireacht chúramach air agus bain úsáid as pasfhocail láidre.
Foinse: will.com