- हनीपॉट: ऐसा सिस्टम जो हमलावर द्वारा सिस्टम में घुसपैठ की कोशिश होने पर हमले का पता लगाता है और उसे रिकॉर्ड करता है
- SSH हनीपॉट: SSH को लक्ष्य बनाने वाला हनीपॉट
- 30 दिनों तक SSH Honeypot चलाने के परिणाम
- 30 दिनों में कुल 11,599 लॉगिन प्रयास हुए, और प्रति दिन औसतन 386 लॉगिन प्रयास दर्ज किए गए
- सबसे अधिक इस्तेमाल किए गए यूज़रनेम root, 345gs5662d34, admin, pi आदि थे. इसके अलावा ubuntu, ubnt, support, user, oracle भी देखे गए
- 345gs5662d34 संभवतः Polycom CX600 IP फ़ोन का डिफ़ॉल्ट credential हो सकता है
- सबसे अधिक इस्तेमाल किए गए पासवर्ड 345gs5662d34, 3245gs5662d34, admin, 123456, password आदि थे
- लॉगिन के बाद चलाए गए कमांड्स का विश्लेषण करने पर निम्नलिखित संदिग्ध गतिविधियाँ मिलीं:
- सबसे अधिक चलाए गए कमांड
echo -e “\x6F\x6B”: 6,775 बारcd ~; chattr -ia .ssh; lockr -ia .ssh: 1,016 बारuname -s -v -n -r -m: 320 बार
oinasf स्क्रिप्ट चलाने के बाद uname -s -m कमांड से सिस्टम जानकारी इकट्ठा करने की कोशिश./ip cloud print कमांड के ज़रिए MikroTik राउटर पर हमला करने की कोशिशmdrfckr cryptocurrency miner इंस्टॉल किया गया और दूसरे miner processes को बंद किया गया- MIPS architecture malware फैलाने की कोशिश (मुख्य रूप से राउटर और IoT डिवाइसों को निशाना बनाते हुए)
- Gafgyt (BASHLITE) malware का हिस्सा
Sakura.sh स्क्रिप्ट चलाया गया
- Gafgyt एक botnet है जो IoT डिवाइसों और Linux सिस्टमों को संक्रमित करता है, और DDoS हमलों जैसी क्षमताएँ रखता है
- यह कमज़ोर पासवर्ड, डिफ़ॉल्ट पासवर्ड और ज्ञात vulnerabilities का इस्तेमाल करके डिवाइस पर कब्ज़ा करने की कोशिश करता है
- यह 2014 से मौजूद है और DDoS हमले चलाने में सक्षम कई variants में विकसित हुआ है
GN⁺ की राय
- हनीपॉट के ज़रिए हमले के patterns का विश्लेषण करने और defense strategy बनाने में मदद मिलती है.
- इससे स्पष्ट होता है कि डिफ़ॉल्ट यूज़रनेम और पासवर्ड का उपयोग करना बेहद खतरनाक है.
- IoT डिवाइस और राउटर विशेष रूप से संवेदनशील होते हैं, इसलिए उनकी security settings मज़बूत करनी चाहिए.
- cryptocurrency miner जैसे malware सिस्टम resources बर्बाद करते हैं और सुरक्षा खतरे पैदा करते हैं.
- नए सुरक्षा खतरों के लिए तैयार रहने हेतु लगातार monitoring और updates ज़रूरी हैं.
3 टिप्पणियां
345gs5662d34ज़्यादा दिख रहा था, इसलिए खोजकर देखा तो एक बात मिली कि कुछ खास keyboards में इसका मतलबpasswordहोता है ( https://isc.sans.edu/diary/Common+usernames+submitted+to+honeypots/… ), लेकिन पक्का नहीं कह सकता...यह शायद
votmdnjem(पासवर्ड) जैसा थोड़ा महसूस हो सकता है।Hacker News राय
सेल्फ-होस्टेड मेल सर्वर और फ़ायरवॉल लॉग विश्लेषण: असामान्य ट्रैफ़िक को ब्लॉक करने के लिए स्क्रिप्ट सेट की, और इंटरनेट सिक्योरिटी कंपनियों के स्कैनर नेटवर्क को ब्लॉक करके अनावश्यक ट्रैफ़िक को 50% से अधिक कम किया।
पासवर्ड लॉगिन दोबारा सक्षम करने के बाद सुरक्षा समस्या: पासवर्ड लॉगिन को थोड़ी देर के लिए सक्षम करने के बाद हज़ारों लॉगिन प्रयास हुए, जिनमें से अधिकांश चीन से आए थे।
स्कैनर विज़ुअलाइज़ेशन: बेहतर समझ के लिए स्कैनर की लोकेशन और ASN को विज़ुअलाइज़ किया गया। सख्त वेरिफ़िकेशन प्रक्रिया वाले VPS प्रदाता स्कैनर गतिविधि कम करने में मददगार होते हैं।
SSH सुरक्षा सेटिंग्स: SSH सर्वर की सुरक्षा मज़बूत करने के लिए पोर्ट बदलना, पासवर्ड ऑथेंटिकेशन बंद करना, और केवल कुछ खास यूज़र्स को अनुमति देने जैसी सेटिंग्स की सिफारिश की गई।
केवल पब्लिक की ऑथेंटिकेशन इस्तेमाल करने वाला SSH: अगर केवल पब्लिक की ऑथेंटिकेशन का उपयोग किया जा रहा है, तो fail2ban जैसे अतिरिक्त सुरक्षा टूल बहुत मददगार नहीं होते, और VPN जैसी अतिरिक्त डिफ़ेंस लेयर की सिफारिश की जाती है।
चीन के IP ब्लॉक करना: अधिकांश SSH लॉगिन प्रयास चीन से आते हैं, इसलिए चीन के IP ब्लॉक कर दिए जाते हैं और ज़रूरत पड़ने पर अस्थायी रूप से खोले जाते हैं।
अनाम FTP सर्वर चलाने का अनुभव: 2000 के शुरुआती दशक में एक अनाम FTP सर्वर चलाते समय नवीनतम क्रैक सॉफ़्टवेयर आसानी से मिल जाने का अनुभव साझा किया गया।
स्वयं सर्वर होस्ट करने का सकारात्मक पक्ष: इंटरनेट पर एक्सपोज़ की गई हर चीज़ का कोई न कोई दुरुपयोग करने की कोशिश करेगा, इसलिए सुरक्षा की समझ बढ़ाना महत्वपूर्ण है।
अज्ञात कमांड
lockr:lockrकमांड का कोई संदर्भ नहीं मिला, और इसे अक्सर मैलवेयर द्वाराchattrकमांड के साथ चलाते हुए देखा गया।MikroTik राउटर और हमलावरों की गतिविधि: MikroTik राउटर की cloud DNS सुविधा का उपयोग करके हमलावर राउटर की dynamic DNS एंट्री की जाँच करते हैं, ताकि IP address बदलने पर भी पहुँच बनाए रख सकें।