α’ααααα·ααΆαααααα αα·αα’αααααααΆαααααΆαααααα·αα»ααα»αααααΌααααααα»αααααααααααΆααΎααααΈαααααΌαααααΌ botnet ααααΈα±ααααΆαα αααΎαααΆααααα’αΆα ααααΎαα ααΆαα αα½αααααααΎ Honeypots αααα»ααααααααααααΆαααααα½α... ααα»ααααα α»ααααΆαααΆααΎα’αααα ααααααααααΎαααααααααα»αααααΆαααΆαααΆααααααα? ααΆαα ββserver α¬ router ααααα’αααααΆααααααααααΆαα? α α»αααΎααααΆαα§ααααααααααα? ααΆααΊααΆαααα½αααΆαααααααααααα»αα±αααααα»ααααααΎα bhunter αααααΆα§ααααααααααΆααααΆαα αΌαααααΎ botnet nodes α
αααα·αα αααα
ααΆααα·ααΈααΆα αααΎααααα»αααΆαααααααααααΆαααααα ααΎααααΈαααααΈα botnetsα ααΈ phishing αα αΌααααααΆαααααααααααα ααΆαααΆαααααααααααααα 0 ααααα ααα»αααααα·ααΈααΆαααααααΌαα αααα»αααΊαα αααααααα±ααααααΎααΆααααααααΆαα SSH αααΆαααΆα αΆαα
αααα·αααΊααΆααααααΆααα ααααα·αααΎααααΆαα botnet αα½αα ααα½ααααα»αααααΆααΆα brute-force passwords αααααΆαα server ααααα’ααα αααααααααΆααααΆαααααααααΌαααΆαα αΆααααααα brute-force simple passwordsα αααααΆααααααΆααΎααααΈααα½αααΆαααΆαα αΌαααααΎααΆα’αααααααΆααααααααΌαααΆα reciprocate α
αααααΆααααααα bhunter ααααΎαααΆαα ααααΆααα ααα 22 (ααααΆ SSH) αα·ααααααΌαααΆαα αΌα αα·αααΆααααααααΆααααΆααα’ααααααα½αααααααΆααΆαααααΆαααα ααΆα αααααΆαααααααααααΎααΆααααααααΆααααααααααΌαααΆα ααΆααααΆααΆαααααΆαααα ααααΆααααΆααααα αΆαα
αααα½ααααααααΆαααΆαααΆα
αααααα·ααΈαααα’αΆα α ααα ααααΆ 2 αααααααααΆααα αααααααΎαααΆααα αααα»ααααααααααΆαααΆα ααααα‘ααα ααΈαα½αααΊααΉααααα»αα ααααΎαααΆαααΆαααα»ααααα αΌα αααααΌαααΆαα αΌα αα·αααΆααααααααΆαααααα½αααα (αααα»αααααΈααα ααΆαα αΌα + ααΆααααααααΆααααΌααααΌαααΆαα αΆαααα»αααΆααΆααααΌααααα½α) α αΎαααααααααα’αΆααααααΆα IP αααααααΆααΆαααααΆαααα αα½ααααααΆααααΆαααΆααααα αΆααααααααααα
αααααααΈααΈαααΊααα½ααα»αααααΌααααααααΆααα ααααααΆαααΆααααα αΆαα ααΎαααΈααααα ααα ααΆαααΆααααα αΆαααααΌαααΆαα’αα»ααααααΆααΈαααααα BurstAttack (ααΆαααΆααααα αΆααααα»αα‘αΎα) - ααΆαα αΌαααααααααΆαα brute αα·αααΆααααααααΆααααΈαααααΈααΌαα αα·α SingleShotAttack (ααΆαααΆααααα αΆααααααΆαααααα½ααα) - ααΆααααααααΆαααααααΆαα brute αααααααΌαααΆαααααΎαααααααΆαααααααΆαααΆααααα αΆα ααα»αααααα·αααΆααααΆααα α‘αΎαα αααααααα αααααΈααΌαα α
ααΎααααΈααΆααααΆαα αα ααΆααααΌαααααΆααα·ααααααααααΆαα αΌα αα·αααΆααααααααΆααααααΆαααααααΆααααΈααΆαααΎαααααΎαααΆα bhunter ααααΌαααΆαα αΆααααααΎαααΆαα½αααΉααααααΈααΈα―αααΆα /etc/bhunter/defaultLoginPairs α
α ααα»α αααααΆαα
ααΆααα·ααΈααΆα αααΎαααΎααααΈααΎαααααΎαααΆα bhunter:
ααααΆααααααΆαααα»α
sudo bhunter
ααΆαα½αααΉαααΆαααΎαααααΎαααΆαααα ααΆα’αΆα ααααααααα bhunter ααΆαααααααΊαα»αα’αααααααααααΆα ααααααααΆαα αΌα αα·αααΆααααααααΆαααααααΆααααΆαααΆααααα αΆα ααΆαα ααααΌαααααΆααα·ααααααααααΆαα αΌα αα·αααΆααααααααΆαα αααααΆααααααα αααααΆααααΆαααΆααααα αΆαα ααααΆαααααααααΌαααΆααααα½α α αΌαααΆααα’ααα’αΆα ααΎαααΎααα αααα»αα―αααΆα /var/log/bhunter/hacked.log
ααΆαααααΎααααΆαα tmux
sudo bhunter-ts # ΠΊΠΎΠΌΠ°Π½Π΄Π° Π·Π°ΠΏΡΡΠΊΠ° bhunter ΡΠ΅ΡΠ΅Π· tmux
sudo tmux attach -t bhunter # ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ°Π΅ΠΌΡΡ ΠΊ ΡΠ΅ΡΡΠΈΠΈ, Π² ΠΊΠΎΡΠΎΡΠΎΠΉ Π·Π°ΠΏΡΡΠ΅Π½ bhunter
Tmux ααΊααΆα§ααααααα α»αα»αααααΆααΈα αααααΆα§αααααααΆααααα½ααααα»αα α’αα»ααααΆαβα±ααβα’αααβαααααΎαβαααα’α½α βααΆβα αααΎαβαααα»αβααααΆααΈαβαα½α α αΎαβαααααβαααα’α½α βααΆβαααααα αααααααΎααΆ α’αααα’αΆα α ααααΈααααΆααΈα α αΎααααααΆααααα αΌαααααα·αααααΆααααααααΎαααΆαααααααα»αααααΎαααΆαα
ααααααΈα bhunter-ts αααααΎααααα tmux α αΎαααααααααα’α½α ααΆααΈαααααα ααΈαα½α αααααα»α ααΆααααΊαα»αα’αααααα αααααααΆαααΎααΆαααααΆαααΆααααααα ααα» Honeypot αα ααΈαααα’αααα’αΆα ααΎαααΆαα’αααΈααΆαααααΆααΆαα αΌααα αααα»α Honeypot α αααααααΆαααααΆαααΆαααααααααα αΆαααααααΆαα’αααΈααααΎαααΆαααααΆαααΆααααα αΆαααΎααααΆαα botnet αα·αα’αααΈααΆααα½α α αΌααααααααααα
α’ααααααααααααααα·ααΈααΆααααααααααΆαααααΌαααΊααΆ ααΎαα’αΆα
αα·αααααΆααΈαααααα»ααααα·ααΆα α αΎααααα‘αααα
ααΆαα
αααααααα ααααα·αα
αΆαααΆα
α bhunter ααααααααΆαααΆαααααααΆα αααααΆααα’αααααααα·αααΌαααααΆαα tmux αααα»αααααΆα
ααΆααααΆαααα
systemctl enable bhunter
systemctl start bhunter
αααα»αααααΈααα ααΎαααΎαααααΎαααΆα bhunter autostart αα αααα αΆααααααΎαααααααααα αα αααα»ααα·ααΈααΆαααααααα α’ααααααααααΆαα½α bhunter αα·αααααΌαααΆααααααα±αααα α αΎααααααΈααααααΆαααααααααΌαααΆααα½α α αΌαα’αΆα ααα½αααΆαααΈ /var/log/bhunter/hacked.log
ααααα·αααα·ααΆα
ααααααα»αααααΎααΆαααΎ bhunter αααα»αααΆααααααααααααΎααααΈααααααα αα·αααα½αααΆαα§ααααααααααααααΆααΆαααααα»αα raspberry pi ααααααα (ααΆαα·ααα mikrotik) αααΆαααΈαααααα ααααα αα·αααααΆααααΆαααα·ααααΆααα»αααααα (ααΆα’αα»αα ααΆαα αΌαααααΎααΆαα ααααααα ααΌα αααααα·αααΆαα’αααΈαα½αα±ααα αΆααα’αΆαααααααα ααΏα)α αααααΊααΆααΌαααα’αααααααααααααα·ααΈ ααααααα αΆααααααΈααααΆαααααααααΌαααΆααα½α αααααΆααααΈααααΎααΆαααΆα αααΎαααααα
ααΆα’αα»αα ααααα·αααααΆαααα§αααααααααα·αααΆαααΆααααααΆαααααΉααα»ααααααααα»αααα bhunter α’αΆα
ααΆαααααααΆααααααααΆαααα
ααΆαα nodes ααΆα
αααΎαααααααααα·ααααααα α αΎαα’αΆα
hack ααααα
ααΆα
αααΎααααα»αααααααααΈαααΈααααα ααα»αααααααααΊαααααααααΆαααααααΆααααΆαα αΌαα
αΌαααααααΆααααααΌ botnet ααααΈα
ααααα·αααααΆαααααΌαααΆαααα₯αααα·ααααααααΆαααΆααααααααΌα ααΆα ααααααααααααΆαααΈααααααααΆα bhunter ααΆαααΈααΆαααα αααα αα αα·ααα½ααααα’αΆααααααΆα IP ααααΌαααΆααααα ααα αα αααα»ααααα·ααααααααααααα»α ααΆαααααΈαα½ααα αααααααααα»αααΆααα½ααααΆαααΈααααα·αααα·αααΈαααΈ hoster αα½α α αΎααα½ααααα»αα αααααα½αααααααΌαααΆαααΆααααα αΆαααα botnets ααΉαααΆααααΆα 2 ααα
ααα α»αααααααα»ααα·αααΆααααΆααα½ααα»α
αα αααααΆααα»ααααΆαααΈααααααααααααα αααα»αααααΆαααΆααααα ααΆαα·αα’αΆα αααααααααα·αα αααΆααααΆααααΆααΎααΆααααααααΆααααααΉαααααΌαα¬α’αααααααα ααααΈααααααααααΌαααΆααααααααΆαα αααα»αα―αααΆα /var/log/debug.log α
αααΌαα»α Paramiko αααααααΌαααΆαααααΎααΎααααΈααααΎααΆαααΆαα½α SSH αααααααααΆαα₯αα·ααΆαααα·αααααΉαααααΌαα ααΆαααα αΆαααΆαααααΎαααααΈαααΆαααΈααααα₯αααααα αα ααααααααΆααααΆααΆαααααΆαααα ααΆα αααα»αααΆααα·αααααααΆαα½ααααααα·ααΈαααααααααααα»αααααα·αααα½αααΆααααααααααα ααααΆα
ααΎααααΌαααααΎαααΆαα’αααΈααα?
αααααααααΆαααα
αααααΆα ββRFC-4253 α’αα·αα·αα αα·ααααΆαααΈαααααααΌααααααααααΆαααααααα’αα»αααααα·ααΈααΆα SSH αα»ααααααα‘αΎαα ααααααααααΆααα αααα»αααΆα βαααααααααΆααααβ αααααΆαααΆααααΆαααααΎαα»αααΈααΆααΈα’αα·αα·αα αα·ααααα»αααΆαααααΎαααααΈααΆααααΆαααΈαααα ααΆαααΊααΆααααα’αααα α αΎααααααααααααΆα’αΆα ααααΆααααααααΎ wireshark α¬ nmap α αααααΆα§ααΆα ααααααααΆαα OpenSSHα
$ nmap -p 22 ***.**.***.** -sV
Starting Nmap ...
PORT STATE SERVICE VERSION
22/tcp open ssh <b>OpenSSH 7.9p1 Debian 10+deb10u2</b> (protocol 2.0)
Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds
ααααααΆαααΆααααα αααα»αααααΈ Paramiko ααΆααααααΆαααααααΌα ααΆ "Paramiko Python sshd 2.4.2" αααα’αΆα αααααΆα botnets αααααααΌαααΆααα ααΆα‘αΎαααΎααααΈ "αααααΆα" α’ααααΆααα ααΌα αααα αααα»ααα·αααΆααΆα αΆαααΆα αααΎααααΈαααα½ααααααααααΆαα½αααΉαα’αααΈαααα’ααααΆααααΉαααΆααααα
ααα·α αααααααααααα
SSH αα·ααααααΆαααααααΆααααα½ααααααααΆααααααααααααΈα ααααΆαααα ααααΆα telnet, rdp α ααΆααΆααααααααΎααα½αααα±αααα·ααααα
ααααααααααα
ααΆαα·αααΆααα’ααΆαααααααΆαα’ααααΆααααΆα αααΎααα αααα»αααααααααααααααααΆ α αΎααααααΌααααα»αααΆαα αΌα ααΆααααααααΆαα αα·αααααΆαααααααααΌαααΆααααα½α α αΌαααΈαα½ααααα αααα»αααΌαααααΆααα·ααααααααΌαα α
ααΎαααα»αα’αΆα ααΆαααααΆααα α―ααΆ?
αα
αααααααα ααΆαααααααααΆαααααααΊαα½α
ααΆαα αααα’αΆα
ααΆαααααΆαααΈ
ααααα: www.habr.com