Сингапур дахь Digital Ocean зангилаа дээр зөгийн бал суулгасны дараа 24 цагийн статистик
Пью Пью! Довтолгооны газрын зургаас шууд эхэлцгээе
Манай супер дажгүй газрын зураг нь манай Cowrie зөгийн балтай 24 цагийн дотор холбогдсон өвөрмөц ASN-уудыг харуулж байна. Шар нь SSH холболттой, улаан нь Telnet-тэй тохирч байна. Ийм хөдөлгөөнт дүрсүүд нь компанийн захирлуудын зөвлөлд ихэвчлэн сэтгэгдэл төрүүлдэг бөгөөд энэ нь аюулгүй байдал, нөөцөд илүү их санхүүжилт авахад тусалдаг. Гэсэн хэдий ч газрын зураг нь манай хост руу 24 цагийн дотор халдлагын эх үүсвэрийн газарзүйн болон зохион байгуулалтын тархалтыг тодорхой харуулсан үнэ цэнэтэй юм. Хөдөлгөөнт дүрс нь эх сурвалж бүрээс ирж буй хөдөлгөөний хэмжээг тусгаагүй болно.
Pew Pew газрын зураг гэж юу вэ?
Pew Pew газрын зураг Байна уу , ихэвчлэн хөдөлгөөнт, маш үзэсгэлэнтэй. Энэ бол Norse Corp-ын нэр хүндгүй ашигладаг бүтээгдэхүүнээ борлуулах сонирхолтой арга юм. Компани муугаар дуусгавар болсон: үзэсгэлэнтэй хөдөлгөөнт дүрс нь тэдний цорын ганц давуу тал байсан бөгөөд дүн шинжилгээ хийхдээ хэсэгчилсэн өгөгдлийг ашигласан.
Leafletjs-ээр хийсэн
Үйлдлийн төвийн том дэлгэцийн довтолгооны газрын зураг зохиох хүсэлтэй хүмүүст (таны даргад таалагдах болно) номын сан байдаг. . Бид үүнийг залгаастай хослуулдаг , Maxmind GeoIP үйлчилгээ - .
WTF: Энэ Cowrie зөгийн бал юу вэ?
Honeypot бол халдагчдыг татахын тулд сүлжээнд тусгайлан байрлуулсан систем юм. Системд холбогдох нь ихэвчлэн хууль бус бөгөөд нарийвчилсан бүртгэлийг ашиглан халдагчийг илрүүлэх боломжийг олгодог. Лог нь ердийн холболтын мэдээлэл төдийгүй илчлэх сессийн мэдээллийг хадгалдаг техник, тактик, журам (TTP) халдагч.
зориулж бүтээсэн SSH болон Telnet холболтын бичлэгүүд. Ийм зөгийн балны савыг ихэвчлэн халдагчдын хэрэгсэл, скрипт, хостуудыг хянах зорилгоор интернетэд тавьдаг.
Өөрсдийгөө халдлагад өртөхгүй гэж бодож байгаа компаниудад хандан "Та нар шаргуу хайж байна" гэсэн мессеж.
- Жеймс Снук
Бүртгэлд юу байгаа вэ?
Холболтын нийт тоо
Олон хостоос дахин холбогдох оролдлого хийсэн. Довтолгооны скриптүүд нь итгэмжлэлийн бүрэн жагсаалттай бөгөөд хэд хэдэн хослолыг туршиж үзсэн тул энэ нь хэвийн үзэгдэл юм. Cowrie Honeypot нь тодорхой хэрэглэгчийн нэр болон нууц үгийн хослолыг хүлээн авахаар тохируулагдсан. Үүнийг тохируулсан байна user.db файл.
Довтолгооны газарзүй
Maxmind-ийн газарзүйн байршлын өгөгдлийг ашиглан би улс бүрээс холболтын тоог тоолсон. Бразил, Хятад хоёр тэргүүлж байгаа бөгөөд эдгээр улсаас ирж буй сканнерын дуу чимээ ихтэй байдаг.
Сүлжээний блок эзэмшигч
Сүлжээний блок (ASN) эзэмшигчдийг судлах нь олон тооны халдлагад өртөж буй хостуудтай байгууллагуудыг тодорхойлох боломжтой. Мэдээжийн хэрэг, ийм тохиолдолд олон халдлага нь халдвар авсан хостуудаас ирдэг гэдгийг үргэлж санаж байх хэрэгтэй. Ихэнх халдагчид гэрийн компьютерээс сүлжээг сканнердах тэнэг биш гэж үзэх нь үндэслэлтэй юм.
Довтолгооны систем дээрх портуудыг нээх (Shodan.io-ийн өгөгдөл)
IP жагсаалтыг маш сайн ажиллуулж байна хурдан тодорхойлно нээлттэй порттой системүүд мөн эдгээр портууд юу вэ? Доорх зурагт нээлттэй боомтуудын төвлөрлийг улс, байгууллагаар нь харуулав. Эвдэрсэн системийн блокуудыг тодорхойлох боломжтой, гэхдээ дотор нь жижиг дээж олон тооноос бусад онцлох зүйл харагдахгүй байна Хятадад нээлттэй 500 порт.
Сонирхолтой олдвор бол Бразилд байдаг олон тооны системүүд юм нээлттэй биш 22, 23 буюу бусад портууд, Censys болон Shodan нарын дагуу. Эдгээр нь эцсийн хэрэглэгчийн компьютерийн холболтууд бололтой.
Ботууд уу? Хэрэгцээгүй
мэдээ 22, 23-р портуудын хувьд тэр өдөр тэд хачирхалтай зүйлийг харуулсан. Ихэнх сканнерууд болон нууц үгийн халдлага нь роботуудаас ирдэг гэж би таамаглаж байсан. Скрипт нь нээлттэй портууд дээр тархаж, нууц үгээ тааж, шинэ системээс өөрийгөө хуулж, ижил аргыг ашиглан үргэлжлүүлэн тархдаг.
Гэхдээ эндээс та telnet сканнердсан цөөн тооны хостууд 23-р портыг гаднаас нь нээж байгааг харж болно.Энэ нь системүүд ямар нэгэн байдлаар эвдэрсэн эсвэл халдагчид гараар скрипт ажиллуулж байна гэсэн үг юм.
Гэрийн холболтууд
Өөр нэг сонирхолтой дүгнэлт бол түүвэрт олон тооны гэрийн хэрэглэгчид байсан. Ашиглах замаар урвуу хайлт Би тодорхой гэрийн компьютеруудаас 105 холболтыг тодорхойлсон. Гэрийн олон холболтын хувьд урвуу DNS хайлт нь dsl, home, cable, fiber гэх мэт үгс бүхий хостын нэрийг харуулдаг.
Сура, судал: Өөрийн зөгийн балны савыг өсгө
Би саяхан хэрхэн хийх талаар богино хэмжээний заавар бичсэн . Өмнө дурьдсанчлан, манай тохиолдолд бид Сингапурт Digital Ocean VPS-ийг ашигласан. 24 цагийн дүн шинжилгээ хийхэд зардал нь шууд утгаараа хэдхэн цент байсан бөгөөд системийг угсрах хугацаа 30 минут байв.
Cowrie-г интернетээр ажиллуулж, бүх чимээ шуугианыг барихын оронд та дотоод сүлжээндээ зөгийн балны савны ашиг тусыг хүртэх боломжтой. Тодорхой портууд руу хүсэлт илгээсэн тохиолдолд мэдэгдлийг байнга тохируул. Энэ нь сүлжээн дэх халдагчид, эсвэл сониуч ажилтан, эсвэл эмзэг байдлын хайлт юм.
үр дүн нь
Халдагчдын XNUMX цагийн турш хийсэн үйлдлүүдийг үзсэний дараа аливаа байгууллага, улс орон, тэр ч байтугай үйлдлийн системд халдлагын тодорхой эх сурвалжийг тодорхойлох боломжгүй гэдэг нь тодорхой болсон.
Эх сурвалжийн өргөн тархалт нь сканнердах дуу чимээ тогтмол бөгөөд тодорхой эх сурвалжтай холбоогүй болохыг харуулж байна. Интернет дээр ажилладаг хэн бүхэн өөрсдийн системээ баталгаажуулах ёстой хэд хэдэн аюулгүй байдлын түвшин. Нийтлэг бөгөөд үр дүнтэй шийдэл SSH үйлчилгээ санамсаргүй өндөр порт руу шилжих болно. Энэ нь нууц үгийн хатуу хамгаалалт, хяналт тавих хэрэгцээг арилгадаггүй ч ядаж л байнга сканнердсанаар бүртгэлүүд бөглөрөхгүй байх баталгаа болдог. Өндөр портын холболтууд нь зорилтот халдлагад өртөх магадлал өндөр байдаг бөгөөд энэ нь танд сонирхолтой байж магадгүй юм.
Ихэнхдээ нээлттэй telnet портууд нь чиглүүлэгч эсвэл бусад төхөөрөмж дээр байдаг тул тэдгээрийг өндөр порт руу хялбархан шилжүүлэх боломжгүй байдаг. и Эдгээр үйлчилгээг галт хана эсвэл идэвхгүй болгох цорын ганц арга зам юм. Боломжтой бол та Telnet-ийг огт ашиглах ёсгүй, энэ протокол шифрлэгдээгүй байна. Хэрэв танд хэрэгтэй бөгөөд үүнгүйгээр хийх боломжгүй бол үүнийг сайтар хянаж, хүчтэй нууц үг ашиглана уу.
Эх сурвалж: www.habr.com