Сингапурдагы Digital Ocean түйүнүнө бал челек орноткондон кийин 24 сааттын статистикасы
Pew Pew! Дароо чабуул картасынан баштайлы
Биздин супер салкын карта 24 сааттын ичинде биздин Cowrie бал чөйчөгүбүзгө туташкан уникалдуу ASNлерди көрсөтөт. Сары түс SSH байланыштарына, ал эми кызыл түс Telnetге туура келет. Мындай анимациялар көбүнчө компаниянын директорлор кеңешин таң калтырат, бул коопсуздук жана ресурстар үчүн көбүрөөк каржылоого жардам берет. Бирок, карта 24 сааттын ичинде биздин хостубузга чабуул булактарынын географиялык жана уюштуруучулук жайылышын ачык көрсөтүп, кандайдыр бир мааниге ээ. Анимация ар бир булактан келген трафиктин көлөмүн чагылдырбайт.
Pew Pew картасы деген эмне?
Pew Pew картасы - аны
Leafletjs менен жасалган
Операция борборундагы чоң экран үчүн чабуул картасын иштеп чыгууну каалагандар үчүн (башчыңар аны жакшы көрөт), китепкана бар
WTF: бул Коури бал чөйчөгү эмне?
Honeypot – бул тармакка атайын чабуулчуларды азгыруу үчүн орнотулган система. Системага туташуулар адатта мыйзамсыз болуп саналат жана деталдуу журналдарды колдонуу менен чабуулчуну аныктоого мүмкүндүк берет. Журналдар үзгүлтүксүз туташуу маалыматын гана эмес, сеанс маалыматын да сактайт ыкмалары, тактикасы жана жол-жоболору (TTP) кирүүчү.
Кол салууга кабылбайт деп ойлогон компанияларга менин билдирүүм: "Сиз катуу карап жатасыз."
- Джеймс Снук
Журналдарда эмнелер бар?
Туташуулардын жалпы саны
Көптөгөн хосттордон бир нече жолу туташуу аракеттери болду. Бул нормалдуу көрүнүш, анткени чабуул скрипттеринде эсептик дайындардын толук тизмеси бар жана бир нече айкалыштырууга аракет кылыңыз. Cowrie Honeypot белгилүү бир колдонуучу атын жана сырсөз айкалыштарын кабыл алуу үчүн конфигурацияланган. Бул конфигурацияланган user.db файлы.
Чабуулдардын географиясы
Maxmind геолокация маалыматтарын колдонуп, мен ар бир өлкөдөн байланыштардын санын санадым. Бразилия менен Кытай чоң айырма менен алдыда жана бул өлкөлөрдөн келген сканерлерден ызы-чуу көп болот.
Тармак блогунун ээси
Тармактык блоктордун ээлерин изилдөө (ASN) көп сандагы чабуулчу хосттору бар уюмдарды аныктай алат. Албетте, мындай учурларда сиз ар дайым көптөгөн чабуулдар жуккан хосттордон келерин унутпашыңыз керек. Көпчүлүк чабуулчулар Тармакты үй компьютеринен сканерлөө үчүн акылсыз эмес деп ойлошубуз жөндүү.
Кол салуу системаларында портторду ачуу (Shodan.io маалыматтары)
IP тизмесин мыкты аркылуу иштетүү
Кызыктуу табылга Бразилияда көп сандагы системалар бар ачык эмес 22, 23 же башка порттор, Censys жана Shodan боюнча. Кыязы, бул акыркы колдонуучунун компьютерлеринин байланыштары.
Ботторбу? Керек эмес
маалымат
Бирок бул жерде сиз telnetти сканерлөөчү аз сандагы хосттордо 23-порту сыртка ачык экенин көрүүгө болот.Бул системалар же башка жол менен бузулган, же чабуулчулар скрипттерди кол менен иштетип жатканын билдирет.
Үй байланыштары
Дагы бир кызыктуу табылга - бул үлгүдөгү үй колдонуучуларынын көптүгү. Жардамы менен тескери издөө Мен белгилүү бир үй компьютерлеринен 105 байланышты аныктадым. Көптөгөн үй байланыштары үчүн, тескери DNS издөө хосттун аталышын dsl, үй, кабель, була жана башкалар менен көрсөтөт.
Үйрөнүңүз жана изилдеңиз: Өзүңүздүн бал чөйчөгүңүздү көтөрүңүз
Мен жакында кантип жасоо жөнүндө кыскача окуу куралын жаздым
Интернетте Cowrie иштетип, бардык ызы-чууларды кармоонун ордуна, жергиликтүү тармагыңыздагы бал идиштеринен пайда ала аласыз. Сурамдар белгилүү бир портторго жөнөтүлсө, дайыма эскертмени орнотуп туруңуз. Бул же тармактын ичиндеги чабуулчу, же кызыккан кызматкер, же аялуу жерди сканерлөө.
табылгалары
XNUMX сааттын ичинде чабуулчулардын аракеттерин көргөндөн кийин, кандайдыр бир уюмда, өлкөдө, жада калса операциялык тутумда чабуулдардын так булагын аныктоо мүмкүн эмес экени айкын болот.
Булактардын кеңири таралышы сканер ызы-чуусу туруктуу жана белгилүү бир булак менен байланышпаганын көрсөтөт. Интернетте иштеген ар бир адам, алардын системасын камсыз кылуу керек бир нече коопсуздук деңгээли. үчүн жалпы жана натыйжалуу чечим SSH кызмат кокустук жогорку портко жылат. Бул катуу сырсөз коргоо жана мониторинг жүргүзүү зарылдыгын жок кылбайт, бирок, жок эле дегенде, журналдар тынымсыз сканерлөө менен бүтөлүп калбасын камсыз кылат. Жогорку порттук туташуулар сизди кызыктырышы мүмкүн болгон максаттуу чабуулдар болушу ыктымал.
Көп учурда ачык telnet порттору роутерлерде же башка түзмөктөрдө болот, ошондуктан аларды оңой эле бийик портко жылдыруу мүмкүн эмес.
Source: www.habr.com