Quantcast
Channel: 青蛙的分享 - 小众软件官方论坛
Viewing all articles
Browse latest Browse all 88

运行 SSH 蜜罐30天后你能得到什么

$
0
0

作者为 SOFIANE,很有意思的事情。


蜜罐是一种网络安全技术,用于检测和记录攻击者尝试入侵系统的行为。

实验环境是运行在Ubuntu 24.04 LTS x86_64操作系统上的服务器,内核版本为6.8.0-31-generic。

在为期30天的蜜罐运行期间,共记录了11,599次登录尝试,平均每天约有386次尝试。这些尝试中,许多攻击者使用了常见的默认用户名,例如“root”和“admin”,还有一些攻击者使用了特定的用户名如“345gs5662d34”,这可能是丹麦奥尔堡大学研究中提到的 Polycom CX600 IP 电话的默认凭证。

cat X.log | grep -a "login attempt" | awk '{print $5}' | awk -F "'" '{print $2}' | sort | uniq -c | sort -nr | head
   8181 root
    977 345gs5662d34
    359 admin
    198 pi
    105 0
     71 ubuntu
     51 ubnt
     46 support
     37 user
     30 oracle

攻击者使用的密码也显示出一定的模式,例如“123456”和“password”等常见密码,以及与Polycom IP电话默认凭证相关的密码。

成功登录后,攻击者执行了多种命令,包括执行神秘的 oinasf 脚本,该脚本可能用于探测系统漏洞或寻找有价值的信息。还有使用/ip cloud print命令针对MikroTik路由器的攻击,以及使用uname命令获取操作系统和机器架构的详细信息。

文章还提到了名为 mdrfckr的 加密货币挖矿软件,它会创建一个定时任务来删除 .ssh 文件夹中的所有内容,添加一个SSH密钥,锁定其他用户,然后杀死其他挖矿程序,独占资源。

此外,还发现了针对MIPS架构的恶意软件,这类恶意软件通常针对路由器和物联网设备。文章还提到了Gafgyt恶意软件(也称为BASHLITE),这是一种影响物联网设备和基于Linux的系统的僵尸网络,自2014年以来已经发展出多个变种。


这让我想起前几天那个裸奔 15 分钟就被攻破的 Windows XP 了 :joy:

7 个帖子 - 3 位参与者

阅读完整话题


Viewing all articles
Browse latest Browse all 88

Trending Articles