సింగపూర్లోని డిజిటల్ ఓషన్ నోడ్లో హనీపాట్ను ఇన్స్టాల్ చేసిన తర్వాత 24 గంటల గణాంకాలు
ప్యూ ప్యూ! దాడి మ్యాప్తో వెంటనే ప్రారంభిద్దాం
మా సూపర్ కూల్ మ్యాప్ 24 గంటల్లో మా కౌరీ హనీపాట్కి కనెక్ట్ చేయబడిన ప్రత్యేకమైన ASNలను చూపుతుంది. పసుపు SSH కనెక్షన్లకు అనుగుణంగా ఉంటుంది మరియు ఎరుపు రంగు టెల్నెట్కు అనుగుణంగా ఉంటుంది. ఇటువంటి యానిమేషన్లు తరచుగా కంపెనీ బోర్డ్ ఆఫ్ డైరెక్టర్లను ఆకట్టుకుంటాయి, ఇది భద్రత మరియు వనరుల కోసం మరింత నిధులను పొందడంలో సహాయపడుతుంది. అయితే, మ్యాప్ కొంత విలువను కలిగి ఉంది, కేవలం 24 గంటల్లో మా హోస్ట్పై దాడి మూలాల యొక్క భౌగోళిక మరియు సంస్థాగత వ్యాప్తిని స్పష్టంగా చూపుతుంది. ప్రతి మూలం నుండి వచ్చే ట్రాఫిక్ మొత్తాన్ని యానిమేషన్ ప్రతిబింబించదు.
ప్యూ ప్యూ మ్యాప్ అంటే ఏమిటి?
ప్యూ ప్యూ మ్యాప్ అది - , సాధారణంగా యానిమేటెడ్ మరియు చాలా అందంగా ఉంటుంది. Norse Corp ద్వారా అపఖ్యాతి పాలైన మీ ఉత్పత్తిని విక్రయించడానికి ఇది ఒక ఫాన్సీ మార్గం. కంపెనీ చెడుగా ముగిసింది: అందమైన యానిమేషన్లు వారి ఏకైక ప్రయోజనం అని తేలింది మరియు వారు విశ్లేషణ కోసం ఫ్రాగ్మెంటరీ డేటాను ఉపయోగించారు.
Leafletjsతో తయారు చేయబడింది
కార్యకలాపాల కేంద్రంలో పెద్ద స్క్రీన్ కోసం దాడి మ్యాప్ను రూపొందించాలనుకునే వారి కోసం (మీ బాస్ దీన్ని ఇష్టపడతారు), లైబ్రరీ ఉంది . మేము దానిని ప్లగ్ఇన్తో కలుపుతాము , Maxmind GeoIP సేవ - .
WTF: ఈ కౌరీ హనీపాట్ అంటే ఏమిటి?
హనీపాట్ అనేది దాడి చేసేవారిని ఆకర్షించడానికి ప్రత్యేకంగా నెట్వర్క్లో ఉంచబడిన వ్యవస్థ. సిస్టమ్కు కనెక్షన్లు సాధారణంగా చట్టవిరుద్ధం మరియు వివరణాత్మక లాగ్లను ఉపయోగించి దాడి చేసేవారిని గుర్తించడానికి మిమ్మల్ని అనుమతిస్తాయి. లాగ్లు సాధారణ కనెక్షన్ సమాచారాన్ని మాత్రమే కాకుండా, బహిర్గతం చేసే సెషన్ సమాచారాన్ని కూడా నిల్వ చేస్తాయి పద్ధతులు, వ్యూహాలు మరియు విధానాలు (TTP) చొరబాటుదారుడు.
కోసం సృష్టించబడింది SSH మరియు టెల్నెట్ కనెక్షన్ రికార్డులు. దాడి చేసేవారి సాధనాలు, స్క్రిప్ట్లు మరియు హోస్ట్లను ట్రాక్ చేయడానికి ఇటువంటి హనీపాట్లు తరచుగా ఇంటర్నెట్లో ఉంచబడతాయి.
తమపై దాడి జరగదని భావించే కంపెనీలకు నా సందేశం: "మీరు చాలా కష్టపడుతున్నారు."
- జేమ్స్ స్నూక్
లాగ్లలో ఏముంది?
కనెక్షన్ల మొత్తం సంఖ్య
అనేక హోస్ట్ల నుండి పునరావృత కనెక్షన్ ప్రయత్నాలు జరిగాయి. ఇది సాధారణం, ఎందుకంటే దాడి స్క్రిప్ట్లు పూర్తి ఆధారాల జాబితాను కలిగి ఉంటాయి మరియు అనేక కలయికలను ప్రయత్నించండి. కౌరీ హనీపాట్ నిర్దిష్ట వినియోగదారు పేరు మరియు పాస్వర్డ్ కలయికలను ఆమోదించడానికి కాన్ఫిగర్ చేయబడింది. ఇది కాన్ఫిగర్ చేయబడింది user.db ఫైల్.
దాడుల భౌగోళికం
Maxmind జియోలొకేషన్ డేటాను ఉపయోగించి, నేను ప్రతి దేశం నుండి కనెక్షన్ల సంఖ్యను లెక్కించాను. బ్రెజిల్ మరియు చైనా విస్తృత మార్జిన్తో ముందంజలో ఉన్నాయి మరియు ఈ దేశాల నుండి వచ్చే స్కానర్ల నుండి తరచుగా చాలా శబ్దం వస్తుంది.
నెట్వర్క్ బ్లాక్ యజమాని
నెట్వర్క్ బ్లాక్ల యజమానులను పరిశోధించడం (ASN) పెద్ద సంఖ్యలో దాడి చేసే హోస్ట్లను కలిగి ఉన్న సంస్థలను గుర్తించగలదు. వాస్తవానికి, అటువంటి సందర్భాలలో అనేక దాడులు సోకిన అతిధేయల నుండి వస్తాయని మీరు ఎల్లప్పుడూ గుర్తుంచుకోవాలి. చాలా మంది దాడి చేసేవారు హోమ్ కంప్యూటర్ నుండి నెట్వర్క్ను స్కాన్ చేసేంత తెలివితక్కువవారు కాదని భావించడం సహేతుకమైనది.
దాడి చేసే సిస్టమ్లపై పోర్ట్లను తెరవండి (Shodan.io నుండి డేటా)
అద్భుతమైన ద్వారా IP జాబితాను అమలు చేస్తోంది త్వరగా గుర్తిస్తుంది ఓపెన్ పోర్ట్లతో సిస్టమ్లు మరియు ఈ పోర్టులు ఏమిటి? దిగువ బొమ్మ దేశం మరియు సంస్థ వారీగా ఓపెన్ పోర్ట్ల ఏకాగ్రతను చూపుతుంది. రాజీపడిన సిస్టమ్ల బ్లాక్లను గుర్తించడం సాధ్యమవుతుంది, కానీ లోపల చిన్న నమూనా పెద్ద సంఖ్యలో తప్ప మరేమీ కనిపించదు చైనాలో 500 ఓపెన్ పోర్టులు.
బ్రెజిల్లో పెద్ద సంఖ్యలో సిస్టమ్లను కలిగి ఉండటం ఆసక్తికరమైన విషయం 22, 23 తెరవలేదు లేదా ఇతర పోర్టులుసెన్సిస్ మరియు షోడాన్ ప్రకారం. స్పష్టంగా ఇవి తుది వినియోగదారు కంప్యూటర్ల నుండి కనెక్షన్లు.
బాట్లను? అవసరం లేదు
డేటా పోర్ట్సు 22 మరియు 23 కోసం వారు ఆ రోజు ఏదో వింత చూపించారు. చాలా స్కాన్లు మరియు పాస్వర్డ్ దాడులు బాట్ల నుండి వస్తాయని నేను ఊహించాను. స్క్రిప్ట్ ఓపెన్ పోర్ట్లలో వ్యాపిస్తుంది, పాస్వర్డ్లను ఊహించడం మరియు కొత్త సిస్టమ్ నుండి కాపీ చేస్తుంది మరియు అదే పద్ధతిని ఉపయోగించి వ్యాప్తి చెందడం కొనసాగుతుంది.
కానీ ఇక్కడ మీరు టెల్నెట్ని స్కానింగ్ చేసే అతితక్కువ సంఖ్యలో మాత్రమే పోర్ట్ 23ని బయటికి తెరిచినట్లు చూడవచ్చు. దీని అర్థం సిస్టమ్లు ఏదో ఒక విధంగా రాజీ పడతాయని లేదా దాడి చేసేవారు స్క్రిప్ట్లను మాన్యువల్గా అమలు చేస్తున్నారని అర్థం.
ఇంటి కనెక్షన్లు
మరొక ఆసక్తికరమైన అన్వేషణ ఏమిటంటే నమూనాలో పెద్ద సంఖ్యలో గృహ వినియోగదారులు. ఉపయోగించడం ద్వార రివర్స్ లుక్అప్ నేను నిర్దిష్ట హోమ్ కంప్యూటర్ల నుండి 105 కనెక్షన్లను గుర్తించాను. అనేక హోమ్ కనెక్షన్ల కోసం, రివర్స్ DNS శోధన హోస్ట్ పేరును dsl, home, కేబుల్, ఫైబర్ మొదలైన పదాలతో ప్రదర్శిస్తుంది.
తెలుసుకోండి మరియు అన్వేషించండి: మీ స్వంత హనీపాట్ను పెంచుకోండి
ఎలా చేయాలో నేను ఇటీవల ఒక చిన్న ట్యుటోరియల్ వ్రాసాను . ఇప్పటికే చెప్పినట్లుగా, మా విషయంలో మేము సింగపూర్లో డిజిటల్ ఓషన్ VPSని ఉపయోగించాము. 24 గంటల విశ్లేషణ కోసం, ఖర్చు అక్షరాలా కొన్ని సెంట్లు, మరియు సిస్టమ్ను సమీకరించే సమయం 30 నిమిషాలు.
ఇంటర్నెట్లో కౌరీని రన్ చేసి మొత్తం నాయిస్ని క్యాచ్ చేయడానికి బదులుగా, మీరు మీ స్థానిక నెట్వర్క్లోని హనీపాట్ నుండి ప్రయోజనం పొందవచ్చు. నిర్దిష్ట పోర్ట్లకు అభ్యర్థనలు పంపబడితే, నిరంతరం నోటిఫికేషన్ను సెట్ చేయండి. ఇది నెట్వర్క్లోని దాడి చేసే వ్యక్తి లేదా ఆసక్తిగల ఉద్యోగి లేదా దుర్బలత్వ స్కాన్.
కనుగొన్న
XNUMX గంటల వ్యవధిలో దాడి చేసేవారి చర్యలను చూసిన తర్వాత, ఏదైనా సంస్థ, దేశం లేదా ఆపరేటింగ్ సిస్టమ్లో దాడులకు సంబంధించిన స్పష్టమైన మూలాన్ని గుర్తించడం అసాధ్యం అని స్పష్టమవుతుంది.
మూలాల విస్తృత పంపిణీ స్కాన్ శబ్దం స్థిరంగా ఉంటుందని మరియు నిర్దిష్ట మూలంతో సంబంధం కలిగి లేదని చూపిస్తుంది. ఇంటర్నెట్లో పనిచేసే ఎవరైనా తప్పనిసరిగా తమ సిస్టమ్ని నిర్ధారించుకోవాలి అనేక భద్రతా స్థాయిలు. కోసం ఒక సాధారణ మరియు సమర్థవంతమైన పరిష్కారం SSH సేవ యాదృచ్ఛిక హై పోర్ట్కు తరలించబడుతుంది. ఇది కఠినమైన పాస్వర్డ్ రక్షణ మరియు పర్యవేక్షణ అవసరాన్ని తొలగించదు, కానీ స్థిరమైన స్కానింగ్ ద్వారా లాగ్లు అడ్డుపడకుండా కనీసం నిర్ధారిస్తుంది. అధిక పోర్ట్ కనెక్షన్లు లక్ష్యంగా దాడులు చేసే అవకాశం ఉంది, ఇది మీకు ఆసక్తిని కలిగిస్తుంది.
తరచుగా ఓపెన్ టెల్నెట్ పోర్ట్లు రౌటర్లు లేదా ఇతర పరికరాలలో ఉంటాయి, కాబట్టి వాటిని సులభంగా అధిక పోర్ట్కి తరలించలేము. и ఈ సేవలు ఫైర్వాల్ లేదా డిసేబుల్ చేయబడి ఉన్నాయని నిర్ధారించుకోవడానికి ఏకైక మార్గం. వీలైతే, మీరు టెల్నెట్ని అస్సలు ఉపయోగించకూడదు; ఈ ప్రోటోకాల్ గుప్తీకరించబడలేదు. మీకు ఇది అవసరమైతే మరియు అది లేకుండా చేయలేకపోతే, దానిని జాగ్రత్తగా పర్యవేక్షించండి మరియు బలమైన పాస్వర్డ్లను ఉపయోగించండి.
మూలం: www.habr.com