SSH Honeypot’u 30 Gün Boyunca Çalıştırınca Görülenler

 (blog.sofiane.cc)
12 puan yazan GN⁺ 2024-06-17 | 3 yorum | WhatsApp'ta paylaş
  • Honeypot: Bir saldırgan sisteme sızmaya çalıştığında saldırıyı tespit edip kaydeden düzenek
    • SSH honeypot: SSH’yi hedef alan honeypot
  • 30 gün boyunca bir SSH Honeypot çalıştırmanın sonuçları
    • 30 gün boyunca toplam 11.599 giriş denemesi oldu ve günlük ortalama 386 giriş denemesi görüldü
    • En çok kullanılan kullanıcı adları root, 345gs5662d34, admin, pi vb. oldu. Bunların dışında ubuntu, ubnt, support, user, oracle vb. de vardı
      • 345gs5662d34, Polycom CX600 IP telefonunun varsayılan kimlik bilgisi olabilir
    • En çok kullanılan parolalar 345gs5662d34, 3245gs5662d34, admin, 123456, password vb. oldu
  • Giriş sonrasında çalıştırılan komutlar analiz edildiğinde şu tür şüpheli faaliyetler görüldü:
    • En çok çalıştırılan komutlar
      • echo -e “\x6F\x6B”: 6.775 kez
      • cd ~; chattr -ia .ssh; lockr -ia .ssh: 1.016 kez
      • uname -s -v -n -r -m: 320 kez
    • oinasf betiği çalıştırıldıktan sonra uname -s -m komutuyla sistem bilgisi toplanmaya çalışıldı
    • ./ip cloud print komutu üzerinden MikroTik yönlendiricilere saldırı girişimi oldu
    • mdrfckr kripto para madencisi kuruldu ve diğer madenci süreçleri sonlandırıldı
    • MIPS mimarisi için kötü amaçlı yazılım yayma girişimi görüldü (çoğunlukla yönlendiriciler ve IoT cihazları hedefleniyor)
    • Gafgyt (BASHLITE) kötü amaçlı yazılımının bir parçası olan Sakura.sh betiği çalıştırıldı
      • Gafgyt, IoT cihazlarını ve Linux sistemlerini enfekte eden, DDoS saldırıları gibi işlevlere sahip bir botnettir
      • Zayıf ya da varsayılan parolaları ve bilinen açıkları kullanarak cihazları ele geçirmeye çalışır
      • 2014’ten beri var ve DDoS saldırıları gerçekleştirebilen birçok türeve evrilmiştir

GN⁺’un görüşü

  • Honeypot, saldırı kalıplarını analiz etmek ve savunma stratejileri oluşturmak için faydalıdır.
  • Varsayılan kullanıcı adı ve parola kullanmanın ne kadar tehlikeli olduğu görülüyor.
  • IoT cihazları ve yönlendiriciler özellikle savunmasız olduğundan güvenlik ayarları güçlendirilmelidir.
  • Kripto para madencileri gibi zararlı yazılımlar sistem kaynaklarını boşa harcar ve güvenlik tehdidi oluşturur.
  • Yeni güvenlik tehditlerine karşı sürekli izleme ve güncelleme gereklidir.

İlgili okumalar

3 yorum

 
nullptr 2024-06-17

345gs5662d34 yüksek olduğu için araştırdım; belirli bir klavyede bunun password anlamına geldiğine dair bir yorum var ( https://isc.sans.edu/diary/Common+usernames+submitted+to+honeypots/… ), ama kesin olarak bilmiyorum...
 
cosine20 2024-06-17

Biraz votmdnjem(şifre) gibi bir his olabilir sanırım
 
GN⁺ 2024-06-17
Hacker News görüşleri

  • Kendi kendine barındırılan posta sunucusu ve güvenlik duvarı log analizi: Anormal trafiği engellemek için scriptler ayarlayıp, internet güvenlik şirketlerinin tarayıcı ağlarını engelleyerek gereksiz trafiği %50'den fazla azalttı.

  • Parola girişini yeniden etkinleştirdikten sonra güvenlik sorunu: Parola ile girişi kısa süreliğine etkinleştirdikten sonra binlerce giriş denemesi oldu; bunların çoğunun Çin'den geldiği tespit edildi.

  • Tarayıcıların görselleştirilmesi: Tarayıcıların konumları ve ASN'leri görselleştirilerek daha iyi bir anlayış sağlandı. Sıkı doğrulama süreçlerine sahip VPS sağlayıcıları, tarayıcı faaliyetlerini azaltmada yardımcı oluyor.

  • SSH güvenlik ayarları: SSH sunucusunun güvenliğini artırmak için port değiştirme, parola doğrulamayı devre dışı bırakma ve yalnızca belirli kullanıcılara izin verme ayarları öneriliyor.

  • Yalnızca açık anahtar kimlik doğrulaması kullanan SSH: Yalnızca açık anahtar kimlik doğrulaması kullanılıyorsa fail2ban gibi ek güvenlik araçları çok büyük fayda sağlamaz; VPN gibi ek savunma katmanları önerilir.

  • Çin IP'lerini engelleme: SSH giriş denemelerinin çoğu Çin'den geldiği için Çin IP'leri engelleniyor ve gerektiğinde geçici olarak engel kaldırılıyor.

  • Anonim FTP sunucusu işletme deneyimi: 2000'lerin başında anonim bir FTP sunucusu işletirken en güncel crack yazılımlarına kolayca ulaşabildiği deneyimini paylaşıyor.

  • Kendi sunucunu barındırmanın olumlu yönleri: İnternete açık olan her şey birileri tarafından kötüye kullanılmaya çalışılacaktır; bu yüzden güvenlik konusundaki anlayışı artırmak önemlidir.

  • Bilinmeyen lockr komutu: lockr komutuna dair bir referans bulunamıyor ve çoğunlukla kötü amaçlı yazılımların chattr komutuyla birlikte çalıştırdığı gözlemleniyor.

  • MikroTik yönlendiriciler ve saldırgan faaliyeti: MikroTik yönlendiricilerin cloud DNS özelliği kullanılarak saldırganlar yönlendiricinin dinamik DNS kaydını kontrol ediyor ve IP adresi değişse bile erişimi sürdürebiliyor.