సింగపూర్లోని డిజిటల్ ఓషన్ నోడ్లో హనీపాట్ను ఇన్స్టాల్ చేసిన తర్వాత 24 గంటల గణాంకాలు
ప్యూ ప్యూ! దాడి మ్యాప్తో వెంటనే ప్రారంభిద్దాం
మా సూపర్ కూల్ మ్యాప్ 24 గంటల్లో మా కౌరీ హనీపాట్కి కనెక్ట్ చేయబడిన ప్రత్యేకమైన ASNలను చూపుతుంది. పసుపు SSH కనెక్షన్లకు అనుగుణంగా ఉంటుంది మరియు ఎరుపు రంగు టెల్నెట్కు అనుగుణంగా ఉంటుంది. ఇటువంటి యానిమేషన్లు తరచుగా కంపెనీ బోర్డ్ ఆఫ్ డైరెక్టర్లను ఆకట్టుకుంటాయి, ఇది భద్రత మరియు వనరుల కోసం మరింత నిధులను పొందడంలో సహాయపడుతుంది. అయితే, మ్యాప్ కొంత విలువను కలిగి ఉంది, కేవలం 24 గంటల్లో మా హోస్ట్పై దాడి మూలాల యొక్క భౌగోళిక మరియు సంస్థాగత వ్యాప్తిని స్పష్టంగా చూపుతుంది. ప్రతి మూలం నుండి వచ్చే ట్రాఫిక్ మొత్తాన్ని యానిమేషన్ ప్రతిబింబించదు.
ప్యూ ప్యూ మ్యాప్ అంటే ఏమిటి?
ప్యూ ప్యూ మ్యాప్ అది -
Leafletjsతో తయారు చేయబడింది
కార్యకలాపాల కేంద్రంలో పెద్ద స్క్రీన్ కోసం దాడి మ్యాప్ను రూపొందించాలనుకునే వారి కోసం (మీ బాస్ దీన్ని ఇష్టపడతారు), లైబ్రరీ ఉంది
WTF: ఈ కౌరీ హనీపాట్ అంటే ఏమిటి?
హనీపాట్ అనేది దాడి చేసేవారిని ఆకర్షించడానికి ప్రత్యేకంగా నెట్వర్క్లో ఉంచబడిన వ్యవస్థ. సిస్టమ్కు కనెక్షన్లు సాధారణంగా చట్టవిరుద్ధం మరియు వివరణాత్మక లాగ్లను ఉపయోగించి దాడి చేసేవారిని గుర్తించడానికి మిమ్మల్ని అనుమతిస్తాయి. లాగ్లు సాధారణ కనెక్షన్ సమాచారాన్ని మాత్రమే కాకుండా, బహిర్గతం చేసే సెషన్ సమాచారాన్ని కూడా నిల్వ చేస్తాయి పద్ధతులు, వ్యూహాలు మరియు విధానాలు (TTP) చొరబాటుదారుడు.
తమపై దాడి జరగదని భావించే కంపెనీలకు నా సందేశం: "మీరు చాలా కష్టపడుతున్నారు."
- జేమ్స్ స్నూక్
లాగ్లలో ఏముంది?
కనెక్షన్ల మొత్తం సంఖ్య
అనేక హోస్ట్ల నుండి పునరావృత కనెక్షన్ ప్రయత్నాలు జరిగాయి. ఇది సాధారణం, ఎందుకంటే దాడి స్క్రిప్ట్లు పూర్తి ఆధారాల జాబితాను కలిగి ఉంటాయి మరియు అనేక కలయికలను ప్రయత్నించండి. కౌరీ హనీపాట్ నిర్దిష్ట వినియోగదారు పేరు మరియు పాస్వర్డ్ కలయికలను ఆమోదించడానికి కాన్ఫిగర్ చేయబడింది. ఇది కాన్ఫిగర్ చేయబడింది user.db ఫైల్.
దాడుల భౌగోళికం
Maxmind జియోలొకేషన్ డేటాను ఉపయోగించి, నేను ప్రతి దేశం నుండి కనెక్షన్ల సంఖ్యను లెక్కించాను. బ్రెజిల్ మరియు చైనా విస్తృత మార్జిన్తో ముందంజలో ఉన్నాయి మరియు ఈ దేశాల నుండి వచ్చే స్కానర్ల నుండి తరచుగా చాలా శబ్దం వస్తుంది.
నెట్వర్క్ బ్లాక్ యజమాని
నెట్వర్క్ బ్లాక్ల యజమానులను పరిశోధించడం (ASN) పెద్ద సంఖ్యలో దాడి చేసే హోస్ట్లను కలిగి ఉన్న సంస్థలను గుర్తించగలదు. వాస్తవానికి, అటువంటి సందర్భాలలో అనేక దాడులు సోకిన అతిధేయల నుండి వస్తాయని మీరు ఎల్లప్పుడూ గుర్తుంచుకోవాలి. చాలా మంది దాడి చేసేవారు హోమ్ కంప్యూటర్ నుండి నెట్వర్క్ను స్కాన్ చేసేంత తెలివితక్కువవారు కాదని భావించడం సహేతుకమైనది.
దాడి చేసే సిస్టమ్లపై పోర్ట్లను తెరవండి (Shodan.io నుండి డేటా)
అద్భుతమైన ద్వారా IP జాబితాను అమలు చేస్తోంది
బ్రెజిల్లో పెద్ద సంఖ్యలో సిస్టమ్లను కలిగి ఉండటం ఆసక్తికరమైన విషయం 22, 23 తెరవలేదు లేదా ఇతర పోర్టులుసెన్సిస్ మరియు షోడాన్ ప్రకారం. స్పష్టంగా ఇవి తుది వినియోగదారు కంప్యూటర్ల నుండి కనెక్షన్లు.
బాట్లను? అవసరం లేదు
డేటా
కానీ ఇక్కడ మీరు టెల్నెట్ని స్కానింగ్ చేసే అతితక్కువ సంఖ్యలో మాత్రమే పోర్ట్ 23ని బయటికి తెరిచినట్లు చూడవచ్చు. దీని అర్థం సిస్టమ్లు ఏదో ఒక విధంగా రాజీ పడతాయని లేదా దాడి చేసేవారు స్క్రిప్ట్లను మాన్యువల్గా అమలు చేస్తున్నారని అర్థం.
ఇంటి కనెక్షన్లు
మరొక ఆసక్తికరమైన అన్వేషణ ఏమిటంటే నమూనాలో పెద్ద సంఖ్యలో గృహ వినియోగదారులు. ఉపయోగించడం ద్వార రివర్స్ లుక్అప్ నేను నిర్దిష్ట హోమ్ కంప్యూటర్ల నుండి 105 కనెక్షన్లను గుర్తించాను. అనేక హోమ్ కనెక్షన్ల కోసం, రివర్స్ DNS శోధన హోస్ట్ పేరును dsl, home, కేబుల్, ఫైబర్ మొదలైన పదాలతో ప్రదర్శిస్తుంది.
తెలుసుకోండి మరియు అన్వేషించండి: మీ స్వంత హనీపాట్ను పెంచుకోండి
ఎలా చేయాలో నేను ఇటీవల ఒక చిన్న ట్యుటోరియల్ వ్రాసాను
ఇంటర్నెట్లో కౌరీని రన్ చేసి మొత్తం నాయిస్ని క్యాచ్ చేయడానికి బదులుగా, మీరు మీ స్థానిక నెట్వర్క్లోని హనీపాట్ నుండి ప్రయోజనం పొందవచ్చు. నిర్దిష్ట పోర్ట్లకు అభ్యర్థనలు పంపబడితే, నిరంతరం నోటిఫికేషన్ను సెట్ చేయండి. ఇది నెట్వర్క్లోని దాడి చేసే వ్యక్తి లేదా ఆసక్తిగల ఉద్యోగి లేదా దుర్బలత్వ స్కాన్.
కనుగొన్న
XNUMX గంటల వ్యవధిలో దాడి చేసేవారి చర్యలను చూసిన తర్వాత, ఏదైనా సంస్థ, దేశం లేదా ఆపరేటింగ్ సిస్టమ్లో దాడులకు సంబంధించిన స్పష్టమైన మూలాన్ని గుర్తించడం అసాధ్యం అని స్పష్టమవుతుంది.
మూలాల విస్తృత పంపిణీ స్కాన్ శబ్దం స్థిరంగా ఉంటుందని మరియు నిర్దిష్ట మూలంతో సంబంధం కలిగి లేదని చూపిస్తుంది. ఇంటర్నెట్లో పనిచేసే ఎవరైనా తప్పనిసరిగా తమ సిస్టమ్ని నిర్ధారించుకోవాలి అనేక భద్రతా స్థాయిలు. కోసం ఒక సాధారణ మరియు సమర్థవంతమైన పరిష్కారం SSH సేవ యాదృచ్ఛిక హై పోర్ట్కు తరలించబడుతుంది. ఇది కఠినమైన పాస్వర్డ్ రక్షణ మరియు పర్యవేక్షణ అవసరాన్ని తొలగించదు, కానీ స్థిరమైన స్కానింగ్ ద్వారా లాగ్లు అడ్డుపడకుండా కనీసం నిర్ధారిస్తుంది. అధిక పోర్ట్ కనెక్షన్లు లక్ష్యంగా దాడులు చేసే అవకాశం ఉంది, ఇది మీకు ఆసక్తిని కలిగిస్తుంది.
తరచుగా ఓపెన్ టెల్నెట్ పోర్ట్లు రౌటర్లు లేదా ఇతర పరికరాలలో ఉంటాయి, కాబట్టి వాటిని సులభంగా అధిక పోర్ట్కి తరలించలేము.
మూలం: www.habr.com