စင်ကာပူရှိ Digital Ocean node တွင် ပျားရည်အိုးကို ထည့်သွင်းပြီးနောက် 24 နာရီကြာ စာရင်းအင်းများ

Pew Pew တိုက်ခိုက်ရေးမြေပုံဖြင့် ချက်ချင်းစလိုက်ရအောင်

ကျွန်ုပ်တို့၏ အလွန်မိုက်သောမြေပုံသည် ကျွန်ုပ်တို့၏ Cowrie ပျားရည်အိုးနှင့် 24 နာရီအတွင်း ချိတ်ဆက်ထားသည့် ထူးခြားသော ASN များကို ပြသသည်။ အဝါရောင်သည် SSH ချိတ်ဆက်မှုများနှင့် သက်ဆိုင်ပြီး အနီရောင်သည် Telnet နှင့် သက်ဆိုင်သည်။ ထိုသို့သောကာတွန်းများသည် လုံခြုံရေးနှင့် အရင်းအမြစ်များအတွက် ရန်ပုံငွေပိုမိုရရှိစေရန် ကူညီပေးနိုင်သည့် ကုမ္ပဏီ၏ဒါရိုက်တာဘုတ်အဖွဲ့ကို မကြာခဏ အထင်ကြီးစေပါသည်။ သို့သော်၊ မြေပုံသည် ကျွန်ုပ်တို့၏အိမ်ရှင်ပေါ်ရှိ တိုက်ခိုက်မှုသတင်းရင်းမြစ်များ၏ ပထဝီဝင်နှင့် အဖွဲ့အစည်းဆိုင်ရာ ပျံ့နှံ့မှုကို 24 နာရီအတွင်း ရှင်းရှင်းလင်းလင်းပြသထားသော တန်ဖိုးအချို့ရှိပါသည်။ ကာတွန်းသည် အရင်းအမြစ်တစ်ခုစီမှ သွားလာမှုပမာဏကို ရောင်ပြန်ဟပ်ခြင်းမရှိပါ။

Pew Pew မြေပုံဆိုတာဘာလဲ။

Pew Pew မြေပုံ - က ဆိုက်ဘာတိုက်ခိုက်မှုများကို ပုံဖော်ခြင်း။များသောအားဖြင့် ကာတွန်းနှင့် အလွန်လှပသည်။ Norse Corp မှ နာမည်ဆိုးဖြင့် အသုံးပြုထားသော သင့်ထုတ်ကုန်ကို ရောင်းချရန် စိတ်ကူးယဉ်နည်းလမ်းတစ်ခုဖြစ်သည်။ ကုမ္ပဏီသည် ဆိုးရွားစွာ အဆုံးသတ်သွားသည်- လှပသော ကာတွန်းကားများသည် ၎င်းတို့၏ တစ်ခုတည်းသော အားသာချက်ဖြစ်ပြီး ခွဲခြမ်းစိတ်ဖြာရန်အတွက် အစိတ်စိတ်အမွှာမွှာအချက်အလက်များကို အသုံးပြုခဲ့သည်။

Leafletj များဖြင့် ပြုလုပ်ထားသည်။

စစ်ဆင်ရေးစင်တာတွင် မျက်နှာပြင်ကြီးကြီးအတွက် တိုက်ခိုက်ရေးမြေပုံကို ဒီဇိုင်းရေးဆွဲလိုသူများအတွက် (မင်း၏သူဌေးက ၎င်းကိုနှစ်သက်လိမ့်မည်) စာကြည့်တိုက်တစ်ခုပါရှိသည်။ လက်ကမ်းစာစောင်များ. ၎င်းကို plugin နှင့် ပေါင်းစပ်ထားသည်။ လက်ကမ်းစာစောင် ရွှေ့ပြောင်းခြင်း အလွှာMaxmind GeoIP ဝန်ဆောင်မှု - နှင့်ပြီးပြီ.

WTF: ဒီ Cowrie ပျားရည်အိုးက ဘာလဲ။

Honeypot သည် တိုက်ခိုက်သူများကို ဆွဲဆောင်ရန်အတွက် ကွန်ရက်ပေါ်တွင် တပ်ဆင်ထားသော စနစ်တစ်ခုဖြစ်သည်။ စနစ်နှင့်ချိတ်ဆက်မှုများသည် အများအားဖြင့်တရားမ၀င်ဖြစ်ပြီး အသေးစိတ်မှတ်တမ်းများကိုအသုံးပြု၍ တိုက်ခိုက်သူကိုရှာဖွေနိုင်စေပါသည်။ မှတ်တမ်းများသည် ပုံမှန်ချိတ်ဆက်မှုဆိုင်ရာ အချက်အလက်များကိုသာမက ထုတ်ဖော်ပြသသည့် စက်ရှင်အချက်အလက်ကိုလည်း သိမ်းဆည်းထားသည်။ နည်းပညာများ၊ နည်းဗျူဟာများနှင့် လုပ်ထုံးလုပ်နည်းများ (TTP) ကျူးကျော်သူ။

Honeypot Cowrie ဖန်တီးသည် SSH နှင့် Telnet ချိတ်ဆက်မှုမှတ်တမ်းများ. ထိုကဲ့သို့ ပျားရည်အိုးများကို ကိရိယာများ၊ ဇာတ်ညွှန်းများနှင့် တိုက်ခိုက်သူများ၏ တန်ဆာပလာများကို ခြေရာခံရန် အင်တာနက်ပေါ်တွင် တင်လေ့ရှိသည်။

သူတို့တိုက်ခိုက်ခံရမှာမဟုတ်ဘူးလို့ထင်တဲ့ ကုမ္ပဏီတွေကို ကျွန်တော့်မက်ဆေ့ချ်- "မင်း ခက်ခက်ခဲခဲရှာနေတာ။"
- James Snook

မှတ်တမ်းတွေမှာ ဘာတွေပါလဲ။

စုစုပေါင်းချိတ်ဆက်မှုအရေအတွက်

လက်ခံသူအများအပြားထံမှ ထပ်ခါတလဲလဲ ချိတ်ဆက်ရန် ကြိုးစားမှုများ ရှိခဲ့သည်။ တိုက်ခိုက်ရေး Script များတွင် အထောက်အထားစာရင်းအပြည့်အစုံရှိပြီး ပေါင်းစပ်မှုများစွာကို စမ်းသုံးသောကြောင့် ၎င်းသည် ပုံမှန်ဖြစ်သည်။ Cowrie Honeypot သည် အချို့သော အသုံးပြုသူအမည်နှင့် စကားဝှက်ပေါင်းစပ်မှုများကို လက်ခံရန် စီစဉ်ထားသည်။ ဤသည်၌ configure user.db ဖိုင်.

ပထဝီဝင်တိုက်ခိုက်မှု

Maxmind geolocation data ကို အသုံးပြု၍ နိုင်ငံတစ်ခုစီမှ ချိတ်ဆက်မှု အရေအတွက်ကို ရေတွက်ခဲ့ပါသည်။ ဘရာဇီးနှင့် တရုတ်နိုင်ငံတို့က ကျယ်ပြန့်သော အနားသတ်များဖြင့် ဦးဆောင်နေပြီး ထိုနိုင်ငံများမှ စကင်နာများထံမှ ဆူညံသံများ မကြာခဏ ထွက်ပေါ်နေပါသည်။

ကွန်ရက်ပိတ်ဆို့ ပိုင်ရှင်

ကွန်ရက်ပိတ်ဆို့ခြင်း (ASN) ပိုင်ရှင်များကို သုတေသနပြုခြင်းသည် တိုက်ခိုက်သူအများအပြားရှိသည့် အဖွဲ့အစည်းများကို ဖော်ထုတ်နိုင်သည်။ ဟုတ်ပါတယ်၊ ဒီလိုအခြေအနေမျိုးမှာ တိုက်ခိုက်မှုတော်တော်များများဟာ ရောဂါပိုးရှိတဲ့ hosts တွေဆီကလာတယ်ဆိုတာကို အမြဲသတိရသင့်ပါတယ်။ တိုက်ခိုက်သူအများစုသည် အိမ်သုံးကွန်ပြူတာမှ ကွန်ရက်ကို စကင်န်ဖတ်ရန် လုံလောက်သော မိုက်မဲမှုမရှိဟု ယူဆခြင်းသည် ကျိုးကြောင်းဆီလျော်ပါသည်။

တိုက်ခိုက်ရေးစနစ်များတွင် ဆိပ်ကမ်းများဖွင့်ပါ (Shodan.io မှဒေတာ)

IP စာရင်းကို ကောင်းမွန်စွာ လုပ်ဆောင်ခြင်း။ Shodan API အမြန်ဖော်ထုတ်သည်။ အပေါက်ဖွင့်ထားသောစနစ်များ ဒီဆိပ်ကမ်းတွေက ဘာတွေလဲ။ အောက်ပါပုံသည် နိုင်ငံနှင့် အဖွဲ့အစည်းအလိုက် ဖွင့်ထားသော ဆိပ်ကမ်းများ၏ စုစည်းမှုကို ပြသထားသည်။ အပေးအယူခံစနစ်များ ပိတ်ဆို့ခြင်းများကို ဖော်ထုတ်ရန် ဖြစ်နိုင်သော်လည်း အတွင်းတွင်ဖြစ်သည်။ နမူနာလေးတစ်ခု များပြားလှသည်မှလွဲ၍ မည်သည့်အရာမျှ ထူးထူးခြားခြား မမြင်နိုင်ပါ။ တရုတ်နိုင်ငံတွင် ဆိပ်ကမ်း ၅၀၀ ဖွင့်လှစ်ထားသည်။.

စိတ်ဝင်စားစရာကောင်းတဲ့ တွေ့ရှိချက်တစ်ခုကတော့ ဘရာဇီးမှာ ရှိတဲ့ စနစ်တွေ အများကြီးပါပဲ။ ၂၂၊ ၂၃ မဖွင့်ဘူး။ သို့မဟုတ် အခြားဆိပ်ကမ်းများCensys နှင့် Shodan အရ သိရသည်။ ၎င်းတို့သည် အသုံးပြုသူကွန်ပြူတာများမှ ချိတ်ဆက်မှုများဖြစ်ကြောင်း ထင်ရှားသည်။

ဘော့တ်တွေလား။ မလိုအပ်

ဒေတာ သန်းခေါင်စာရင်း ဆိပ်ကမ်း 22 နှင့် 23 အတွက် ထိုနေ့တွင် ထူးဆန်းသောအရာတစ်ခုကို ပြသခဲ့သည်။ စကင်န်ဖတ်ခြင်းနှင့် စကားဝှက် တိုက်ခိုက်မှု အများစုသည် ဘော့တ်များမှ လာသည်ဟု ကျွန်တော် ယူဆပါသည်။ ဇာတ်ညွှန်းသည် ဖွင့်ထားသော ဆိပ်ကမ်းများပေါ်တွင် ပျံ့နှံ့သွားကာ စကားဝှက်များကို မှန်းဆကာ စနစ်သစ်မှ ၎င်းကိုယ်တိုင် မိတ္တူကူးကာ တူညီသောနည်းလမ်းကို အသုံးပြုကာ ဆက်လက်ပျံ့နှံ့သွားခဲ့သည်။

သို့သော် ဤနေရာတွင် telnet ကိုစကင်န်ဖတ်သည့် host အနည်းစုသာ ပြင်ပသို့ port 23 ဖွင့်ထားသည်ကို သင်တွေ့နိုင်သည်။ ဆိုလိုသည်မှာ စနစ်များသည် အခြားနည်းဖြင့် အပေးအယူလုပ်ခံရခြင်း သို့မဟုတ် တိုက်ခိုက်သူများသည် script များကို ကိုယ်တိုင်လုပ်ဆောင်နေပါသည်။

အိမ်တွင်းချိတ်ဆက်မှုများ

နောက်ထပ် စိတ်ဝင်စားစရာကောင်းတဲ့ တွေ့ရှိချက်ကတော့ နမူနာမှာ အိမ်အသုံးပြုသူ အများအပြားပါ။ အသုံးပြုခြင်းဖြင့် ပြောင်းပြန်ရှာဖွေမှု အိမ်သုံးကွန်ပြူတာများမှ ချိတ်ဆက်မှု 105 ခုကို ကျွန်ုပ်ဖော်ထုတ်ခဲ့သည်။ အိမ်ချိတ်ဆက်မှုများစွာအတွက်၊ ပြောင်းပြန် DNS ရှာဖွေမှုတစ်ခုသည် dsl၊ home၊ cable၊ fiber နှင့် အခြားစကားလုံးများဖြင့် hostname ကိုပြသသည်။

လေ့လာပြီး စူးစမ်းလေ့လာပါ- သင့်ကိုယ်ပိုင် ပျားရည်အိုးကို မြှင့်တင်ပါ။

လုပ်နည်းကို မကြာသေးမီက ကျူတိုရီရယ်တိုတစ်ခု ရေးခဲ့သည်။ သင့်စနစ်တွင် Cowrie ပျားရည်အိုးကို ထည့်သွင်းပါ။. ဖော်ပြထားပြီးဖြစ်သည့်အတိုင်း၊ ကျွန်ုပ်တို့၏အခြေအနေတွင် စင်ကာပူတွင် Digital Ocean VPS ကို အသုံးပြုပါသည်။ ခွဲခြမ်းစိတ်ဖြာမှု 24 နာရီအတွက်၊ ကုန်ကျစရိတ်သည် စင်စစ်အားဖြင့် ဆင့်အနည်းငယ်သာရှိပြီး စနစ်တပ်ဆင်ရန်အချိန်သည် မိနစ် 30 ဖြစ်သည်။

Cowrie ကိုအင်တာနက်ပေါ်တွင်လည်ပတ်ပြီးဆူညံသံအားလုံးကိုဖမ်းမည့်အစား၊ သင်၏ဒေသခံကွန်ရက်ပေါ်ရှိ honeypot မှအကျိုးခံစားနိုင်သည်။ တောင်းဆိုချက်များကို အချို့သော ဆိပ်ကမ်းများသို့ ပေးပို့ပါက အကြောင်းကြားချက်ကို အဆက်မပြတ် သတ်မှတ်ပါ။ ၎င်းသည် ကွန်ရက်အတွင်းရှိ တိုက်ခိုက်သူ သို့မဟုတ် စူးစမ်းလိုသော ဝန်ထမ်းတစ်ဦး သို့မဟုတ် အားနည်းချက်စကင်န်တစ်ခုဖြစ်သည်။

တွေ့ရှိချက်များ

တိုက်ခိုက်သူများ၏ လုပ်ဆောင်ချက်များကို XNUMX နာရီကြာ ကြည့်ရှုပြီးနောက်၊ မည်သည့်အဖွဲ့အစည်း၊ နိုင်ငံ သို့မဟုတ် လည်ပတ်မှုစနစ်တွင်မဆို တိုက်ခိုက်ခြင်း၏ အရင်းအမြစ်ကို ရှင်းရှင်းလင်းလင်း ဖော်ထုတ်ရန် မဖြစ်နိုင်ကြောင်း ရှင်းရှင်းလင်းလင်း သိလာရသည်။

ရင်းမြစ်များ ကျယ်ပြန့်စွာ ဖြန့်ကျက်ခြင်းသည် စကင်န်ဆူညံသံသည် အဆက်မပြတ်ဖြစ်ပြီး သီးခြားအရင်းအမြစ်တစ်ခုနှင့် မသက်ဆိုင်ကြောင်း ပြသသည်။ အင်တာနက်ပေါ်တွင်အလုပ်လုပ်သူမည်သူမဆို၎င်းတို့၏စနစ်ဖြစ်ကြောင်းသေချာစေရပါမည်။ လုံခြုံရေးအဆင့်များစွာ. ဘုံနှင့်ထိရောက်သောဖြေရှင်းချက် SSH ကို ဝန်ဆောင်မှုသည် ကျပန်းအဆင့်မြင့်သော ဆိပ်ကမ်းသို့ ပြောင်းရွှေ့မည်ဖြစ်သည်။ ၎င်းသည် တင်းကျပ်သော စကားဝှက်ကို ကာကွယ်ရန်နှင့် စောင့်ကြည့်ခြင်းအတွက် လိုအပ်မှုကို ဖယ်ရှားပေးမည်မဟုတ်သော်လည်း စဉ်ဆက်မပြတ်စကင်န်ဖတ်ခြင်းဖြင့် မှတ်တမ်းများကို ပိတ်ဆို့နေမည်မဟုတ်ကြောင်း သေချာစေသည်။ မြင့်မားသော port ချိတ်ဆက်မှုများသည် သင်စိတ်ဝင်စားဖွယ်ကောင်းသော ပစ်မှတ်ထားတိုက်ခိုက်မှုများ ဖြစ်နိုင်ခြေပိုများပါသည်။

မကြာခဏဖွင့်ထားသော telnet port များသည် routers သို့မဟုတ် အခြားစက်ပစ္စည်းများတွင် ရှိနေသောကြောင့် ၎င်းတို့ကို မြင့်မားသော port သို့ အလွယ်တကူရွှေ့၍မရပါ။ ဖွင့်ထားသော ဆိပ်ကမ်းများ အားလုံး၏ အချက်အလက် и တိုက်ခိုက်ရေးမျက်နှာပြင် ဤဝန်ဆောင်မှုများကို firewalled သို့မဟုတ် disabled ဖြစ်စေရန်တစ်ခုတည်းသောနည်းလမ်းဖြစ်သည်။ ဖြစ်နိုင်ပါက Telnet ကို လုံးဝအသုံးမပြုသင့်ပါ၊ ဤပရိုတိုကောကို ကုဒ်ဝှက်ထားခြင်းမရှိပါ။ သင် လိုအပ်ပြီး ၎င်းမပါဘဲ မလုပ်နိုင်ပါက ၎င်းကို ဂရုတစိုက် စောင့်ကြည့်ပြီး ခိုင်မာသော စကားဝှက်များကို အသုံးပြုပါ။

source: www.habr.com