Ес­ли ты хоть раз адми­нил сер­вер, то точ­но зна­ешь: авто­риза­цию по паролю нуж­но отклю­чить или серь­езно огра­ничить — белым спис­ком, VPN-шлю­зом или еще как‑то. Мы решили про­верить, что будет, если это­го не сде­лать, и сей­час покажем, что получит­ся.

warning

Вся информа­ция пре­дос­тавле­на исклю­читель­но в озна­коми­тель­ных целях. Автор и редак­ция не несут ответс­твен­ности за любой воз­можный вред, при­чинен­ный с исполь­зовани­ем све­дений из этой статьи.

Встать под ата­ку и пос­мотреть, что будет, — это луч­ший спо­соб изу­чить, как работа­ют хакеры. Это мы и сде­лали — купили нес­коль­ко сер­веров в раз­ных под­сетях и засели в засаде. Пер­вый же неос­торож­ный бот попал­ся все­го через семь секунд, а мень­ше чем через сут­ки мы засек­ли боль­ше 12 тысяч гос­тей на одном толь­ко SSH. Немуд­рено, что рано или поз­дно учет­ные дан­ные ко мно­гим сер­верам под­бира­ются, сами сер­веры про­дол­жают чер­ное дело сво­их соз­дателей, а в сво­бод­ное вре­мя час­тень­ко ко­пают бит­кой­ны.

Мы рас­смот­рим ата­ки по нес­коль­ким про­токо­лам: SSH — как наибо­лее популяр­ный, Telnet, рас­простра­нен­ный в мире IoT, и FTP, куда ломят­ся, что­бы залить шелл для даль­нейшей ата­ки или заразить исполня­емые фай­лы. На один толь­ко SSH за вре­мя тес­та к нам пос­тучались 986 437 раз.

Для чего используют чужие машины

Со взло­ман­ного «умно­го» устрой­ства мож­но ата­ковать осталь­ную сеть, про­водить DDoS, май­нить крип­товалю­ты, слать спам и занимать­ся более изощ­ренны­ми вещами вро­де DNS poisoning или перех­вата тра­фика.

Час­то зло­умыш­ленни­ки под­нима­ют на зах­вачен­ных машинах прок­си‑сер­веры. Это ходовой в теневой час­ти интерне­та товар, даже при бег­лом поис­ке мы наш­ли нес­коль­ко десят­ков пред­ложений. При этом обыч­но прок­си про­дают­ся по под­писке, а не разово.

Сред­ний цен­ник за 100 штук — поряд­ка 25 дол­ларов, но рос­сий­ские прок­си ценят­ся куда дешев­ле — око­ло 12 дол­ларов. За элит­ные прок­си в одни руки хотят по 3-4 дол­лара за IP, при этом рас­ходят­ся они все рав­но как горячие пирож­ки. Видимо, для пос­тоян­ных кли­ентов пре­дус­мотре­ны скид­ки, не заяв­ленные пуб­лично.

 

Подготовка

Мы уста­нови­ли ханипо­ты на два сер­вера. Пер­вый изна­чаль­но для это­го иссле­дова­ния не пред­назна­чал­ся, так что часть ста­тис­тики с него не вклю­чает пароли. На вто­ром сер­вере сра­зу были ханипо­ты.

В какой‑то момент стан­дар­тный SSH мы перенес­ли на порт 404 («404 SSH Service Not Found», ага) на обо­их сер­верах, а штат­ный 22-й порт занял ханипот. Но ни один бот его пос­ле это­го не нашел. Как видишь, заез­женная рекомен­дация перено­сить SSH на неожи­дан­ные пор­ты име­ет смысл, осо­бен­но ког­да 22-й порт открыт, но не пода­ет виду, что нуж­ный сер­вис есть где‑то еще.

Вы­бор­ка в ито­ге получи­лась неболь­шая, поэто­му мы рас­ширили ста­тис­тику, про­ана­лизи­ровав логи со взло­ман­ных ботов.

 

Где брать ханипоты

Вот сами ханипо­ты, которые мы исполь­зовали для раз­ных про­токо­лов. Естес­твен­но, сущес­тву­ет мно­жес­тво дру­гих решений, в том чис­ле ком­мерчес­ких, но их перечис­ление и срав­нение — тема для отдель­ной статьи.

 

telnetlogger

Прос­той Telnet-лог­гер, в лог пишет прос­то пары логин‑пароль. IP-адре­са тоже записы­вают­ся, но в сосед­ний файл и без свя­зи с кон­крет­ной парой логин‑пароль, что неудоб­но. Завел­ся сра­зу и лиш­них нас­тро­ек не тре­бует.

 

SSH Honeypot

За­писы­вает в лог IP, логин и пароль. Каж­дая запись помеча­ется вре­мен­ной мет­кой, чего в Telnet-лог­гере нет. Информа­цию о вре­мени мож­но исполь­зовать, что­бы стро­ить прод­винутые гра­фики, вро­де зависи­мос­ти интенсив­ности атак от вре­мени суток или дня недели, но делать это мы не будем — нас в дан­ном слу­чае инте­ресу­ет сам факт ата­ки и исполь­зуемые тех­ники.

Пер­вые попыт­ки перебо­ра появи­лись уже через семь секунд пос­ле акти­вации ханипо­та.

[Sun Jan 10 22:40:41 2021] ssh-honeypot 0.1.0 by Daniel Roberson started on port 22. PID 4010913
[Sun Jan 10 22:40:49 2021] 196.*.*.166 supervisor qwer1234
[Sun Jan 10 22:41:16 2021] 59.*.*.186 vyatta 123
[Sun Jan 10 22:41:38 2021] 207.*.*.45 root muiemulta

 

honeypot-ftp

Этим про­токо­лом инте­ресо­вались мень­ше все­го. Воз­можно, это свя­зано с тем, что ханипот для FTP на популяр­ных язы­ках нам най­ти не уда­лось, так что исполь­зовали что наш­ли. Этот ханипот даже при не очень деталь­ном рас­смот­рении «све­тит» тем, что написан на Twisted и тем самым отпу­гива­ет некото­рые бот­неты и не самых тупых ата­кующих.

Сканирование ханипота Nmap
Ска­ниро­вание ханипо­та Nmap

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


10 комментариев

  1. Аватар

    Anon

    27.02.2021 в 01:58

    ubnt = default admin login of Ubiquiti devices

  2. Аватар

    desch.in

    27.02.2021 в 07:53

    ubnt — это стандартный логин Ubiquiti, так что вполне себе вариант, учитывая, что дефолтный пароль там такой же.

  3. Аватар

    upagge

    27.02.2021 в 12:59

    Хочу убедиться насколько моя связка безопасная, при настройке новых сервисов первое что я делаю:

    1. Создаю нового пользователя с уникальным именем
    2. Полностью отключаю авторизацию для root и авторизацию по паролю, настраивая авторизацию по ssh ключу
    3. Переношу все с дефолтного порта 22 на рандомный

    Этих мер достаточно для защиты? Или может посоветуете еще что-то

Оставить мнение