运行 SSH 蜜罐30天后你能得到什么

作者为 SOFIANE,很有意思的事情。


蜜罐是一种网络安全技术,用于检测和记录攻击者尝试入侵系统的行为。

实验环境是运行在Ubuntu 24.04 LTS x86_64操作系统上的服务器,内核版本为6.8.0-31-generic。

在为期30天的蜜罐运行期间,共记录了11,599次登录尝试,平均每天约有386次尝试。这些尝试中,许多攻击者使用了常见的默认用户名,例如“root”和“admin”,还有一些攻击者使用了特定的用户名如“345gs5662d34”,这可能是丹麦奥尔堡大学研究中提到的 Polycom CX600 IP 电话的默认凭证。

cat X.log | grep -a "login attempt" | awk '{print $5}' | awk -F "'" '{print $2}' | sort | uniq -c | sort -nr | head
   8181 root
    977 345gs5662d34
    359 admin
    198 pi
    105 0
     71 ubuntu
     51 ubnt
     46 support
     37 user
     30 oracle

攻击者使用的密码也显示出一定的模式,例如“123456”和“password”等常见密码,以及与Polycom IP电话默认凭证相关的密码。

成功登录后,攻击者执行了多种命令,包括执行神秘的 oinasf 脚本,该脚本可能用于探测系统漏洞或寻找有价值的信息。还有使用/ip cloud print命令针对MikroTik路由器的攻击,以及使用uname命令获取操作系统和机器架构的详细信息。

文章还提到了名为 mdrfckr的 加密货币挖矿软件,它会创建一个定时任务来删除 .ssh 文件夹中的所有内容,添加一个SSH密钥,锁定其他用户,然后杀死其他挖矿程序,独占资源。

此外,还发现了针对MIPS架构的恶意软件,这类恶意软件通常针对路由器和物联网设备。文章还提到了Gafgyt恶意软件(也称为BASHLITE),这是一种影响物联网设备和基于Linux的系统的僵尸网络,自2014年以来已经发展出多个变种。


这让我想起前几天那个裸奔 15 分钟就被攻破的 Windows XP 了 :joy:

2 Likes

有趣 我也统计了一下手头的公网服务器本月的lastb记录(共18天)

超过10次的用户名
sudo lastb | awk '{ print $1 }' | sort | uniq -c | sort -nr
   3266 root
    859 admin
    332 user
    321 test
    197 ubuntu
    197 ubnt
    106 support
     99 pi
     94 guest
     85 git
     84 telecoma
     82 postgres
     80 ftpuser
     74 oracle
     51 operator
     46 test1
     46 hadoop
     42 teste
     41 validato
     41 node
     40 testuser
     36 odoo
     34 dev
     34 debian
     34 1234
     34 1
     32 
     32 jenkins
     30 username
     30 dell
     29 es
     29 centos
     28 mysql
     26 prueba
     26 config
     24 administ
     23 student
     22 user1
     22 .syslog
     20 test2
     20 nginx
     19 uucp
     18 ftp
     18 12345
     17 sshd
     16 tomcat
     16 steam
     16 orangepi
     16 nagios
     16 elastics
     16 demo
     16 default
     15 usr
     14 testing
     14 tester
     14 test123
     14 sshadmin
     14 RPM
     14 kafka
     14 deploy
     14 ali
     14 Admin
     12 zhangp
     12 unknown
     12 test3
     12 Test
     12 teamspea
     12 server
     12 ec2-user
     12 docker
     12 dmdba
     12 develope
     12 deployer
     12 blank
     12 ansible
     12 anonymou
     12 admin1
     10 zhangkai
     10 yyl
     10 yangshud
     10 utest3
     10 usuario
     10 ty
     10 testftp
     10 sammy
     10 public
     10 office
     10 NL5xUDpV
     10 minecraf
     10 lijie
     10 dongwu
     10 dbadmin
     10 chen
     10 bitrix
     10 appltest
还有IP的记录
sudo lastb | awk '{ print $3 }' | sort | uniq -c | sort -nr| head -n 20
    675 193.201.9.156
    541 139.59.255.245
    288 193.32.162.40
    257 85.209.11.227
    244 170.64.193.168
    236 194.169.175.36
    233 111.42.139.9
    217 85.209.11.27
    198 37.27.35.117
    190 151.80.216.115
    188 194.169.175.35
    156 141.98.10.125
    148 85.209.11.254
    133 43.155.143.137
     95 36.92.248.137
     83 139.59.242.201
     54 80.94.95.81
     38 50.47.208.178
     29 170.64.233.153
     25 220.250.58.23

其中,来自德国的193.201.9.156孜孜不倦的尝试作为admin登录283次,而新加坡 DigitalOcean数据中心的139.59.255.245则偏好于root,尝试登录了241次……

2 Likes

我也测了下:

国外机器

1343 admin
995 test
942 user
496 oracle
393 postgres
357 ftpuser
256 git
250 Antminer
206 guest
160 validato
159 steam
154 es
148 deploy
146 user1
145 node
144 baikal
141 test2
137 dev
132 mysql
131 test1
129 hadoop
125 testuser
117 jenkins
115 administ

国内机器

1343 admin
995 test
942 user
496 oracle
393 postgres
357 ftpuser
256 git
250 Antminer
206 guest
160 validato
159 steam
154 es
148 deploy
146 user1
145 node
144 baikal
141 test2
137 dev
132 mysql
131 test1
129 hadoop
125 testuser
117 jenkins
115 administ

似乎差不多

1 Like

为什么没有喜闻乐见的root?

我也不知道为什么,可能没统计到

作为一个在22接口上跑了很久蜜罐的人呢
好吧, 其实我这个也不能叫蜜罐,应该叫自动化SSH报错脚本,
只要是在22上的SSH密码凭据都只会记录并回报密码错误。

于是乎这是本月18天的结果。

  • 老机器
大于20次的用户名记录
414 admin
134 admin2
 65 admin1
 58 postgres
 58 oracle
 54 nagios
 52 test
 49 hadoop
 46 user
 42 teamspea
 41 srv
 41 deploy
 39 git
 37 centos
 36 sqoop
 33 tomcat
 31 odoo
 31 nvidia
 29 huawei
 28 Admin
尝试1次以上的IP记录

17795 172.232.61.201
760 193.32.162.4
624 168.76.123.59
529 103.78.12.10
493 45.183.247.34
420 218.92.41.172
292 124.152.99.57
133 80.94.92.97
105 35.200.157.232
89 80.94.92.95
87 80.94.92.99
65 58.214.30.198
64 80.94.92.102
6 80.94.92.98
5 61.242.131.58

  • 一台刚开机2个多月的机器
大于10次的用户名记录
487 root
 94 nvidia
 42 user
 38 ubuntu
 34 oracle
 27 huawei
 20 test
 18 postgres
 16 admin
 14 teamspea
尝试1次以上的IP记录

3710 2.57.122.203
244 85.209.133.124
2 172.104.4.17

这个172.232.61.201的牛逼之处在于什么呢。他是打算从字典a遍历到字典z的,而我也是有限速的(最快每分钟1次)超速会ban IP 25分钟,所以他几乎是以1分钟1次的尝试频率刷到现在。

我在我新的机器上记录到了487次的root,老机器上全搜了一遍日志,这个月居然只有1次被尝试了root

我以前的服务器经常因为各种扫描登录被阿里强制停机。 :rofl:

如果提到这个就不得不提到在hacker news评论里面提到的

用于对抗服务器入侵一个参考