Statîstîkên 24 demjimêran piştî sazkirina honeypotek li ser girêkek Okyanûsa dîjîtal a li Sîngapurê
Pew Pew! Ka em tavilê bi nexşeya êrîşê dest pê bikin
Nexşeya meya super xweş ASN-yên bêhempa yên ku di nav 24 demjimêran de bi hêlîna meya Cowrie ve girêdayî ne destnîşan dike. Zer girêdanên SSH û sor Telnet temsîl dike. Anîmasyonên weha bi gelemperî lijneya rêveberiyê ya pargîdaniyê bandor dike, ku dikare ji bo ewlehî û çavkaniyan bêtir fonan peyda bike. Lêbelê, nexşeyê xwedan hin nirxek e, bi eşkere belavbûna erdnîgarî û rêxistinî ya çavkaniyên êrîşê li ser mêvandarê me tenê di 24 demjimêran de nîşan dide. Anîmasyon hêjeya seyrûsefera ji her çavkaniyekê nîşan nade.
Nexşeya Pew Pew çi ye?
Nexşeya Pew Pew Ye , bi gelemperî anîmasyon û pir xweşik. Ew rêyek xweşik e ku hûn hilberê xwe bifroşin, ku ji hêla Norse Corp ve tê bikar anîn. Pargîdanî xirab qediya: derket holê ku anîmasyonên xweşik tenê avantaja wan bû, û wan daneyên parçebûyî ji bo analîzê bikar anîn.
Bi Leafletjs ve hatî çêkirin
Ji bo kesên ku dixwazin nexşeyek êrîşê ji bo ekrana mezin a li navenda operasyonan dîzayn bikin (şefê we dê jê hez bike), pirtûkxaneyek heye. . Em wê bi pêvekê re tevlihev dikin Xizmeta Maxmind GeoIP - .
WTF: ev hingiv Cowrie çi ye?
Honeypot pergalek e ku bi taybetî li ser torê tê danîn da ku êrîşkaran bixapîne. Girêdanên bi pergalê re bi gelemperî neqanûnî ne û dihêle hûn êrîşkar bi karanîna têketinên hûrgulî vedîtin. Têketin ne tenê agahdariya pêwendiya birêkûpêk, lê di heman demê de agahdariya rûniştinê ya ku eşkere dike jî hilîne teknîk, taktîk û prosedurên (TTP) binavket.
afirandin ji bo Tomarên girêdana SSH û Telnet. Honeypotên weha bi gelemperî li ser Înternetê têne danîn da ku amûr, nivîsar û mêvandarên êrîşkaran bişopînin.
Peyama min ji pargîdaniyên ku difikirin ku ew ê neyên êrîş kirin: "Hûn dijwar digerin."
- James Snook
Di qeydan de çi heye?
Hejmara tevahî girêdan
Ji gelek mêvandaran hewildanên girêdanê dubare bûn. Ev normal e, ji ber ku nivîsarên êrîşê navnîşek tevahî pêbaweran hene û çend berhevokan biceribînin. Cowrie Honeypot ji bo pejirandina hin kombînasyona navên bikarhêner û şîfreyê hatî mîheng kirin. Ev di nav de hatî mîheng kirin pelê user.db.
Erdnîgariya êrîşan
Bi karanîna daneyên erdnîgariya Maxmind, min hejmara girêdanên ji her welatekî jimartin. Brezîlya û Çîn bi rêjeyek berfireh pêşengiyê dikin, û pir caran dengek ji skanerên ku ji van welatan tê tê.
Xwediyê bloka torê
Lêkolîna xwedan blokên torê (ASN) dikare rêxistinên bi hejmareke mezin ji mêvandarên êrîşkar re nas bike. Bê guman, di rewşên weha de divê hûn her gav ji bîr mekin ku gelek êrîş ji mêvandarên vegirtî têne. Maqûl e ku meriv bihesibîne ku pir êrîşker ne ew qas bêaqil in ku Torê ji komputerek malê bişopînin.
Li ser pergalên êrîşkar portan vekin (daneyên ji Shodan.io)
Rêvekirina navnîşa IP-ê bi navgîniya hêja zû nas dike sîstemên bi benderên vekirî û ev port çi ne? Nîgara jêrîn giraniya benderên vekirî li gorî welat û rêxistin nîşan dide. Dê gengaz be ku blokên pergalên lihevhatî nas bikin, lê di hundurê de nimûneya piçûk tiştekî berbiçav nayê dîtin, ji bilî hejmareke mezin 500 benderên vekirî li Çînê.
Vedîtinek balkêş ew e ku hejmareke mezin a pergalên li Brezîlyayê hene ne vekirî 22, 23 an benderên din, li gorî Censys û Shodan. Xuya ye ku ev girêdan ji komputerên bikarhênerê paşîn in.
Bots? Ne hewce ye
Daneyên ji bo benderên 22 û 23 wan wê rojê tiştekî ecêb nîşan dan. Min texmîn kir ku piranîya skankirin û êrîşên şîfreyê ji botan têne. Skrîpt li ser portên vekirî belav dibe, şîfreyan texmîn dike, û xwe ji pergala nû kopî dike û bi karanîna heman rêbazê belav dibe.
Lê li vir hûn dikarin bibînin ku tenê hejmarek hindik ji mêvandarên ku telnet dişibînin porta 23 li derve vekirî ne. Ev tê vê wateyê ku pergalên bi rengek din têne tawîz kirin, an jî êrîşkar bi destan nivîsan dimeşînin.
Girêdanên malê
Vedîtinek din a balkêş di nimûneyê de hejmareke mezin a bikarhênerên malê bû. Bi karanîna lêgerîna berevajî Min 105 girêdan ji komputerên malê yên taybetî nas kirin. Ji bo gelek girêdanên malê, lêgerînek DNS-ya berevajî navê mêvandarê bi peyvên dsl, mal, kablo, fiber, û hwd nîşan dide.
Fêr bibin û Bikolin: Honeypota xwe bilind bikin
Min vê dawiyê dersek kurt li ser meriv çawa nivîsand . Wekî ku berê jî behs kir, di doza me de me li Singapore VPS Ocean Digital bikar anî. Ji bo 24 demjimêrên analîzê, lêçûn bi rastî çend cent bû, û dema komkirina pergalê 30 hûrdem bû.
Li şûna ku hûn Cowrie li ser înternetê bimeşînin û hemî dengan bigirin, hûn dikarin li ser tora xweya herêmî ji honeypot sûd werbigirin. Ger daxwaz ji hin portan re têne şandin, bi domdarî agahdariyek saz bikin. Ev an êrîşkarek di hundurê torê de ye, an karmendek meraqdar e, an şanek qelsbûnê ye.
vebiguherin
Piştî temaşekirina kiryarên êrîşkaran di heyama 24 saetan de, eşkere dibe ku ne mimkûn e ku di tu rêxistin, welatek, an jî pergalên xebitandinê de çavkaniyek zelal a êrîşan were destnîşankirin.
Belavbûna berfireh a çavkaniyan destnîşan dike ku dengê şopandinê domdar e û ne bi çavkaniyek taybetî re têkildar e. Her kesê ku li ser Înternetê dixebite divê pergala xwe piştrast bike çend astên ewlehiyê. Ji bo çareseriyek hevpar û bi bandor SSH karûbar dê berbi portek bilind a rasthatî ve biçe. Ev hewcedariya parastina şîfre û çavdêriya hişk ji holê ranake, lê bi kêmanî piştrast dike ku têketin ji hêla şopandina domdar ve neyên girtin. Girêdanên porta bilind bi îhtîmalek mezin e ku bibin hedefên êrişan, ku dibe ku ji we re eleqedar bin.
Bi gelemperî portên telnetê yên vekirî li ser router an cîhazên din in, ji ber vê yekê ew nekarin bi hêsanî berbi portek bilind ve werin veguheztin. и riya yekane ye ku meriv pê ewle bike ku van karûbaran firewalled an neçalak in. Ger gengaz be, divê hûn qet Telnet bikar neynin; ev protokol ne şîfrekirî ye. Heke hûn jê re hewce ne û hûn nikarin bêyî wê bikin, wê hingê bi baldarî çavdêriya wê bikin û şîfreyên bihêz bikar bînin.
Source: www.habr.com