په سینګاپور کې د ډیجیټل سمندر نوډ کې د شاتو پاټ نصبولو وروسته د 24 ساعتونو لپاره احصایې
پیو پیو! راځئ چې سمدلاسه د برید نقشې سره پیل وکړو
زموږ عالي عالي نقشه ځانګړي ASNs ښیې چې په 24 ساعتونو کې زموږ د Cowrie honeypot سره وصل شوي. ژیړ د SSH ارتباطاتو سره مطابقت لري، او سور د ټیلنټ سره مطابقت لري. دا ډول حرکتونه اکثرا د شرکت مدیرانو بورډ اغیزه کوي، کوم چې کولی شي د امنیت او سرچینو لپاره د ډیرو تمویل خوندي کولو کې مرسته وکړي. په هرصورت، نقشه یو څه ارزښت لري، په روښانه توګه زموږ په کوربه باندې د 24 ساعتونو کې د برید سرچینې جغرافیایي او سازماني خپریدل ښیې. حرکت د هرې سرچینې څخه د ترافیک مقدار منعکس نه کوي.
د Pew Pew نقشه څه ده؟
Pew Pew نقشه دی ، معمولا متحرک او ډیر ښکلی. دا ستاسو د محصول پلورلو لپاره په زړه پوري لاره ده ، چې د نورس کارپوریشن لخوا په بدنامۍ سره کارول کیږي. شرکت په بد ډول پای ته ورسید: دا معلومه شوه چې ښکلي متحرکات د دوی یوازینۍ ګټه وه، او دوی د تحلیل لپاره ټوټه ټوټه کارولې.
د Leafletjs سره جوړ شوی
د هغو کسانو لپاره چې غواړي د عملیاتو په مرکز کې د لوی سکرین لپاره د برید نقشه ډیزاین کړي (ستاسو مالک به یې خوښ کړي) ، یو کتابتون شتون لري . موږ دا د پلگ ان سره یوځای کوو , Maxmind GeoIP خدمت - .
WTF: دا د Cowrie honeypot څه شی دی؟
هیني پوټ یو سیسټم دی چې په شبکه کې په ځانګړي ډول د برید کونکو هڅولو لپاره ځای په ځای شوی. د سیسټم سره اړیکې معمولا غیرقانوني دي او تاسو ته اجازه درکوي چې د تفصیلي لاګونو په کارولو سره برید کونکی کشف کړئ. لاګز نه یوازې د منظم پیوستون معلومات ذخیره کوي ، بلکه د ناستې معلومات هم څرګندوي چې څرګندوي تخنیکونه، تاکتیکونه او طرزالعملونه (TTP) مداخله کونکی
لپاره جوړ شوی د SSH او Telnet پیوستون ریکارډونه. دا ډول شاتونه اکثرا په انټرنیټ کې ایښودل کیږي ترڅو د برید کونکو وسیلې ، سکریپټونه او کوربه تعقیب کړي.
زما پیغام هغو شرکتونو ته چې فکر کوي دوی به برید ونه کړي: "تاسو سخت ګورئ."
– جیمز سنوک
په لوګو کې څه دي؟
د اړیکو ټول شمیر
د ډیری کوربه لخوا د پیوستون هڅې تکرار شوې. دا عادي خبره ده، ځکه چې د برید سکریپټونه د اعتباراتو بشپړ لیست لري او ډیری ترکیبونه هڅه کوي. Cowrie Honeypot د ځانګړو کارن-نوم او پټنوم ترکیبونو منلو لپاره ترتیب شوی. دا په کې ترتیب شوی دی user.db فایل.
د بریدونو جغرافیه
د Maxmind جغرافیه کولو ډیټا په کارولو سره، ما د هر هیواد څخه د اړیکو شمیر شمیرل. برازیل او چین په پراخه کچه رهبري کوي ، او ډیری وختونه د دې هیوادونو څخه د سکینرونو څخه ډیر شور راځي.
د شبکې بلاک مالک
د شبکې بلاکونو مالکینو څیړنه (ASN) کولی شي هغه سازمانونه وپیژني چې ډیری برید کونکي کوربه لري. البته، په داسې قضیو کې تاسو باید تل په یاد ولرئ چې ډیری بریدونه د اخته شوي کوربه څخه راځي. دا معقوله ده چې فرض کړئ چې ډیری برید کونکي دومره احمق ندي چې د کور کمپیوټر څخه شبکه سکین کړي.
په برید کونکي سیسټمونو کې بندرونه خلاص کړئ (د Shodan.io څخه ډاټا)
د غوره له لارې د IP لیست چلول ژر پیژني سیسټمونه د خلاص بندرونو سره او دا بندرونه څه دي؟ لاندې شکل د هیواد او سازمان لخوا د خلاص بندرونو غلظت ښیي. دا به ممکنه وي چې د جوړ شوي سیسټم بلاکونه وپیژني، مګر دننه کوچنۍ نمونه پرته له لوی شمیر څخه هیڅ شی نه لیدل کیږي په چین کې 500 خلاص بندرونه.
په زړه پورې موندنه په برازیل کې د سیسټمونو لوی شمیر دی چې لري نه خلاصیږي 22, 23 او یا نور بندرونهد سنسیس او شوډان په وینا. په ښکاره ډول دا د پای کارونکي کمپیوټرونو اړیکې دي.
بوټونه؟ ضروری نه ده
معلومات د 22 او 23 بندرونو لپاره دوی په هغه ورځ یو څه عجیب وښودل. ما فکر کاوه چې ډیری سکینونه او پټنوم بریدونه د بوټو څخه راځي. سکریپټ په خلاص بندرونو کې خپریږي، د پاسورډونو اټکل کوي، او ځان د نوي سیسټم څخه کاپي کوي او د ورته میتود په کارولو سره خپریدو ته دوام ورکوي.
مګر دلته تاسو لیدلی شئ چې یوازې یو لږ شمیر کوربه ټلیټ سکین کوي د 23 پورټ بهر ته خلاص دی. دا پدې مانا ده چې سیسټمونه یا په بل ډول جوړ شوي، یا برید کونکي په لاسي ډول سکریپټونه پرمخ وړي.
د کور اړیکې
بله په زړه پورې موندنه په سیمال کې د کور کاروونکو لوی شمیر و. په کارولو بیرته کتل ما د ځانګړي کور کمپیوټرونو څخه 105 اړیکې پیژندلې. د ډیری کور اتصالاتو لپاره، د ریورس DNS لټون د کوربه نوم د dsl، کور، کیبل، فایبر، او داسې نورو کلمو سره ښکاره کوي.
زده کړئ او سپړئ: خپل د شاتو مچۍ پورته کړئ
ما پدې وروستیو کې د څرنګوالي په اړه یو لنډ لارښود لیکلی . لکه څنګه چې مخکې یادونه وشوه، زموږ په قضیه کې موږ په سینګاپور کې ډیجیټل سمندر VPS کارولی. د 24 ساعتونو تحلیل لپاره، لګښت په حقیقت کې یو څو سینټ وو، او د سیسټم راټولولو وخت 30 دقیقې و.
د دې پرځای چې په انټرنیټ کې کاوري چل کړئ او ټول شور وخورئ، تاسو کولی شئ په خپل محلي شبکه کې د شاتو پوټ څخه ګټه پورته کړئ. په دوامداره توګه یو خبرتیا ترتیب کړئ که غوښتنې ځینې بندرونو ته لیږل کیږي. دا یا په شبکه کې دننه برید کونکی دی ، یا یو زړه راښکونکی کارمند ، یا د زیان مننې سکین.
موندنو
د ۲۴ ساعتونو په موده کې د برید کوونکو د کړنو له لیدلو وروسته دا څرګنده شوه چې په کوم سازمان، هیواد او حتی عملیاتي سیسټم کې د بریدونو د کره سرچینې پیژندل ناشوني دي.
د سرچینو پراخه ویش ښیې چې د سکین شور ثابت دی او د یوې ځانګړې سرچینې سره تړاو نلري. هرڅوک چې په انټرنیټ کې کار کوي باید د دوی سیسټم ډاډمن کړي څو امنیتي کچې. لپاره یو عام او اغیزمن حل SSH خدمت به یو تصادفي لوړ بندر ته لاړ شي. دا د سخت پاسورډ محافظت او څارنې اړتیا له مینځه وړي ، مګر لږترلږه ډاډ ترلاسه کوي چې لاګونه د دوامداره سکین کولو سره تړل شوي ندي. د لوړ بندر اړیکې د هدفي بریدونو احتمال ډیر دی، کوم چې ممکن ستاسو لپاره په زړه پورې وي.
ډیری وختونه خلاص ټیلنیټ بندرونه په روټرونو یا نورو وسیلو کې وي ، نو دوی نشي کولی په اسانۍ سره لوړ بندر ته ولیږدول شي. и د دې ډاډ ترلاسه کولو یوازینۍ لار ده چې دا خدمتونه فایر وال یا غیر فعال دي. که ممکنه وي، تاسو باید تل ټلیټ ونه کاروئ؛ دا پروتوکول کوډ شوی نه دی. که تاسو ورته اړتیا لرئ او پرته له دې نشي کولی، نو په احتیاط سره یې وڅارئ او قوي پاسورډونه وکاروئ.
سرچینه: www.habr.com