Сингапурдагы Digital Ocean түйүнүнө бал челек орноткондон кийин 24 сааттын статистикасы
Pew Pew! Дароо чабуул картасынан баштайлы
Биздин супер салкын карта 24 сааттын ичинде биздин Cowrie бал чөйчөгүбүзгө туташкан уникалдуу ASNлерди көрсөтөт. Сары түс SSH байланыштарына, ал эми кызыл түс Telnetге туура келет. Мындай анимациялар көбүнчө компаниянын директорлор кеңешин таң калтырат, бул коопсуздук жана ресурстар үчүн көбүрөөк каржылоого жардам берет. Бирок, карта 24 сааттын ичинде биздин хостубузга чабуул булактарынын географиялык жана уюштуруучулук жайылышын ачык көрсөтүп, кандайдыр бир мааниге ээ. Анимация ар бир булактан келген трафиктин көлөмүн чагылдырбайт.
Pew Pew картасы деген эмне?
Pew Pew картасы - аны , адатта жандуу жана абдан кооз. Бул Norse Corp тарабынан атактуу колдонулган товарыңызды сатуунун кооз жолу. Компания жаман аяктады: көрктүү анимациялар алардын бирден-бир артыкчылыгы экени белгилүү болду жана талдоо үчүн фрагменттүү маалыматтарды колдонушту.
Leafletjs менен жасалган
Операция борборундагы чоң экран үчүн чабуул картасын иштеп чыгууну каалагандар үчүн (башчыңар аны жакшы көрөт), китепкана бар . Биз аны плагин менен бириктиребиз , Maxmind GeoIP кызматы - .
WTF: бул Коури бал чөйчөгү эмне?
Honeypot – бул тармакка атайын чабуулчуларды азгыруу үчүн орнотулган система. Системага туташуулар адатта мыйзамсыз болуп саналат жана деталдуу журналдарды колдонуу менен чабуулчуну аныктоого мүмкүндүк берет. Журналдар үзгүлтүксүз туташуу маалыматын гана эмес, сеанс маалыматын да сактайт ыкмалары, тактикасы жана жол-жоболору (TTP) кирүүчү.
үчүн түзүлгөн SSH жана Telnet байланыш жазуулары. Мындай бал чөйчөктөрү көбүнчө чабуулчулардын куралдарына, сценарийлерине жана хостторуна көз салуу үчүн Интернетке коюлат.
Кол салууга кабылбайт деп ойлогон компанияларга менин билдирүүм: "Сиз катуу карап жатасыз."
- Джеймс Снук
Журналдарда эмнелер бар?
Туташуулардын жалпы саны
Көптөгөн хосттордон бир нече жолу туташуу аракеттери болду. Бул нормалдуу көрүнүш, анткени чабуул скрипттеринде эсептик дайындардын толук тизмеси бар жана бир нече айкалыштырууга аракет кылыңыз. Cowrie Honeypot белгилүү бир колдонуучу атын жана сырсөз айкалыштарын кабыл алуу үчүн конфигурацияланган. Бул конфигурацияланган user.db файлы.
Чабуулдардын географиясы
Maxmind геолокация маалыматтарын колдонуп, мен ар бир өлкөдөн байланыштардын санын санадым. Бразилия менен Кытай чоң айырма менен алдыда жана бул өлкөлөрдөн келген сканерлерден ызы-чуу көп болот.
Тармак блогунун ээси
Тармактык блоктордун ээлерин изилдөө (ASN) көп сандагы чабуулчу хосттору бар уюмдарды аныктай алат. Албетте, мындай учурларда сиз ар дайым көптөгөн чабуулдар жуккан хосттордон келерин унутпашыңыз керек. Көпчүлүк чабуулчулар Тармакты үй компьютеринен сканерлөө үчүн акылсыз эмес деп ойлошубуз жөндүү.
Кол салуу системаларында портторду ачуу (Shodan.io маалыматтары)
IP тизмесин мыкты аркылуу иштетүү тез аныктайт ачык порттору бар системалар жана бул порттор деген эмне? Төмөнкү сүрөттө ачык порттордун өлкө жана уюм боюнча топтолушу көрсөтүлгөн. Бул бузулган системалардын блокторун аныктоо мүмкүн болмок, бирок ичинде кичинекей үлгү көп сандан башка эч нерсе көрүнбөйт Кытайда 500 ачык порт.
Кызыктуу табылга Бразилияда көп сандагы системалар бар ачык эмес 22, 23 же башка порттор, Censys жана Shodan боюнча. Кыязы, бул акыркы колдонуучунун компьютерлеринин байланыштары.
Ботторбу? Керек эмес
маалымат 22 жана 23 порттор үчүн алар ошол күнү кызыктай бир нерсени көрсөтүштү. Скандоолордун жана сырсөздөрдүн чабуулдарынын көбү боттордон келет деп ойлогом. Скрипт ачык портторго жайылып, сырсөздөрдү ойлоп табат жана өзүн жаңы системадан көчүрөт жана ошол эле ыкманы колдонуу менен жайыла берет.
Бирок бул жерде сиз telnetти сканерлөөчү аз сандагы хосттордо 23-порту сыртка ачык экенин көрүүгө болот.Бул системалар же башка жол менен бузулган, же чабуулчулар скрипттерди кол менен иштетип жатканын билдирет.
Үй байланыштары
Дагы бир кызыктуу табылга - бул үлгүдөгү үй колдонуучуларынын көптүгү. Жардамы менен тескери издөө Мен белгилүү бир үй компьютерлеринен 105 байланышты аныктадым. Көптөгөн үй байланыштары үчүн, тескери DNS издөө хосттун аталышын dsl, үй, кабель, була жана башкалар менен көрсөтөт.
Үйрөнүңүз жана изилдеңиз: Өзүңүздүн бал чөйчөгүңүздү көтөрүңүз
Мен жакында кантип жасоо жөнүндө кыскача окуу куралын жаздым . Жогоруда айтылгандай, биздин учурда биз Сингапурда Digital Ocean VPS колдондук. 24 сааттык талдоо үчүн чыгым түзмө-түз бир нече центти түздү, ал эми системаны чогултуу убактысы 30 мүнөттү түздү.
Интернетте Cowrie иштетип, бардык ызы-чууларды кармоонун ордуна, жергиликтүү тармагыңыздагы бал идиштеринен пайда ала аласыз. Сурамдар белгилүү бир портторго жөнөтүлсө, дайыма эскертмени орнотуп туруңуз. Бул же тармактын ичиндеги чабуулчу, же кызыккан кызматкер, же аялуу жерди сканерлөө.
табылгалары
XNUMX сааттын ичинде чабуулчулардын аракеттерин көргөндөн кийин, кандайдыр бир уюмда, өлкөдө, жада калса операциялык тутумда чабуулдардын так булагын аныктоо мүмкүн эмес экени айкын болот.
Булактардын кеңири таралышы сканер ызы-чуусу туруктуу жана белгилүү бир булак менен байланышпаганын көрсөтөт. Интернетте иштеген ар бир адам, алардын системасын камсыз кылуу керек бир нече коопсуздук деңгээли. үчүн жалпы жана натыйжалуу чечим SSH кызмат кокустук жогорку портко жылат. Бул катуу сырсөз коргоо жана мониторинг жүргүзүү зарылдыгын жок кылбайт, бирок, жок эле дегенде, журналдар тынымсыз сканерлөө менен бүтөлүп калбасын камсыз кылат. Жогорку порттук туташуулар сизди кызыктырышы мүмкүн болгон максаттуу чабуулдар болушу ыктымал.
Көп учурда ачык telnet порттору роутерлерде же башка түзмөктөрдө болот, ошондуктан аларды оңой эле бийик портко жылдыруу мүмкүн эмес. и бул кызматтардын брандмауэрди же өчүрүлгөнүн камсыз кылуунун жалгыз жолу. Мүмкүн болсо, сиз Telnetти такыр колдонбошуңуз керек, бул протокол шифрленген эмес. Эгер сизге керек болсо жана ансыз кыла албасаңыз, аны кылдаттык менен көзөмөлдөп, күчтүү сырсөздөрдү колдонуңуз.
Source: www.habr.com