作者为 SOFIANE,很有意思的事情。
蜜罐是一种网络安全技术,用于检测和记录攻击者尝试入侵系统的行为。
实验环境是运行在Ubuntu 24.04 LTS x86_64操作系统上的服务器,内核版本为6.8.0-31-generic。
在为期30天的蜜罐运行期间,共记录了11,599次登录尝试,平均每天约有386次尝试。这些尝试中,许多攻击者使用了常见的默认用户名,例如“root”和“admin”,还有一些攻击者使用了特定的用户名如“345gs5662d34”,这可能是丹麦奥尔堡大学研究中提到的 Polycom CX600 IP 电话的默认凭证。
cat X.log | grep -a "login attempt" | awk '{print $5}' | awk -F "'" '{print $2}' | sort | uniq -c | sort -nr | head
8181 root
977 345gs5662d34
359 admin
198 pi
105 0
71 ubuntu
51 ubnt
46 support
37 user
30 oracle
攻击者使用的密码也显示出一定的模式,例如“123456”和“password”等常见密码,以及与Polycom IP电话默认凭证相关的密码。
成功登录后,攻击者执行了多种命令,包括执行神秘的 oinasf 脚本,该脚本可能用于探测系统漏洞或寻找有价值的信息。还有使用/ip cloud print命令针对MikroTik路由器的攻击,以及使用uname命令获取操作系统和机器架构的详细信息。
文章还提到了名为 mdrfckr的 加密货币挖矿软件,它会创建一个定时任务来删除 .ssh 文件夹中的所有内容,添加一个SSH密钥,锁定其他用户,然后杀死其他挖矿程序,独占资源。
此外,还发现了针对MIPS架构的恶意软件,这类恶意软件通常针对路由器和物联网设备。文章还提到了Gafgyt恶意软件(也称为BASHLITE),这是一种影响物联网设备和基于Linux的系统的僵尸网络,自2014年以来已经发展出多个变种。
这让我想起前几天那个裸奔 15 分钟就被攻破的 Windows XP 了
2 个赞
有趣 我也统计了一下手头的公网服务器本月的lastb记录(共18天)
超过10次的用户名
sudo lastb | awk '{ print $1 }' | sort | uniq -c | sort -nr
3266 root
859 admin
332 user
321 test
197 ubuntu
197 ubnt
106 support
99 pi
94 guest
85 git
84 telecoma
82 postgres
80 ftpuser
74 oracle
51 operator
46 test1
46 hadoop
42 teste
41 validato
41 node
40 testuser
36 odoo
34 dev
34 debian
34 1234
34 1
32
32 jenkins
30 username
30 dell
29 es
29 centos
28 mysql
26 prueba
26 config
24 administ
23 student
22 user1
22 .syslog
20 test2
20 nginx
19 uucp
18 ftp
18 12345
17 sshd
16 tomcat
16 steam
16 orangepi
16 nagios
16 elastics
16 demo
16 default
15 usr
14 testing
14 tester
14 test123
14 sshadmin
14 RPM
14 kafka
14 deploy
14 ali
14 Admin
12 zhangp
12 unknown
12 test3
12 Test
12 teamspea
12 server
12 ec2-user
12 docker
12 dmdba
12 develope
12 deployer
12 blank
12 ansible
12 anonymou
12 admin1
10 zhangkai
10 yyl
10 yangshud
10 utest3
10 usuario
10 ty
10 testftp
10 sammy
10 public
10 office
10 NL5xUDpV
10 minecraf
10 lijie
10 dongwu
10 dbadmin
10 chen
10 bitrix
10 appltest
还有IP的记录
sudo lastb | awk '{ print $3 }' | sort | uniq -c | sort -nr| head -n 20
675 193.201.9.156
541 139.59.255.245
288 193.32.162.40
257 85.209.11.227
244 170.64.193.168
236 194.169.175.36
233 111.42.139.9
217 85.209.11.27
198 37.27.35.117
190 151.80.216.115
188 194.169.175.35
156 141.98.10.125
148 85.209.11.254
133 43.155.143.137
95 36.92.248.137
83 139.59.242.201
54 80.94.95.81
38 50.47.208.178
29 170.64.233.153
25 220.250.58.23
其中,来自德国的193.201.9.156孜孜不倦的尝试作为admin登录283次,而新加坡 DigitalOcean数据中心的139.59.255.245则偏好于root,尝试登录了241次……
2 个赞
tjsky
2024 年6 月 18 日 07:09
6
作为一个在22接口上跑了很久蜜罐的人呢
于是乎这是本月18天的结果。
大于20次的用户名记录
414 admin
134 admin2
65 admin1
58 postgres
58 oracle
54 nagios
52 test
49 hadoop
46 user
42 teamspea
41 srv
41 deploy
39 git
37 centos
36 sqoop
33 tomcat
31 odoo
31 nvidia
29 huawei
28 Admin
尝试1次以上的IP记录
17795 172.232.61.201
大于10次的用户名记录
487 root
94 nvidia
42 user
38 ubuntu
34 oracle
27 huawei
20 test
18 postgres
16 admin
14 teamspea
尝试1次以上的IP记录
3710 2.57.122.203
这个172.232.61.201的牛逼之处在于什么呢。他是打算从字典a遍历到字典z的,而我也是有限速的(最快每分钟1次)超速会ban IP 25分钟,所以他几乎是以1分钟1次的尝试频率刷到现在。
tjsky
2024 年6 月 18 日 07:18
7
我在我新的机器上记录到了487次的root,老机器上全搜了一遍日志,这个月居然只有1次被尝试了root
我以前的服务器经常因为各种扫描登录被阿里强制停机。
如果提到这个就不得不提到在hacker news评论里面提到的
用于对抗服务器入侵一个参考
