作者为 SOFIANE,很有意思的事情。
蜜罐是一种网络安全技术,用于检测和记录攻击者尝试入侵系统的行为。
实验环境是运行在Ubuntu 24.04 LTS x86_64操作系统上的服务器,内核版本为6.8.0-31-generic。
在为期30天的蜜罐运行期间,共记录了11,599次登录尝试,平均每天约有386次尝试。这些尝试中,许多攻击者使用了常见的默认用户名,例如“root”和“admin”,还有一些攻击者使用了特定的用户名如“345gs5662d34”,这可能是丹麦奥尔堡大学研究中提到的 Polycom CX600 IP 电话的默认凭证。
cat X.log | grep -a "login attempt" | awk '{print $5}' | awk -F "'" '{print $2}' | sort | uniq -c | sort -nr | head
8181 root
977 345gs5662d34
359 admin
198 pi
105 0
71 ubuntu
51 ubnt
46 support
37 user
30 oracle
攻击者使用的密码也显示出一定的模式,例如“123456”和“password”等常见密码,以及与Polycom IP电话默认凭证相关的密码。
成功登录后,攻击者执行了多种命令,包括执行神秘的 oinasf 脚本,该脚本可能用于探测系统漏洞或寻找有价值的信息。还有使用/ip cloud print
命令针对MikroTik路由器的攻击,以及使用uname
命令获取操作系统和机器架构的详细信息。
文章还提到了名为 mdrfckr的 加密货币挖矿软件,它会创建一个定时任务来删除 .ssh 文件夹中的所有内容,添加一个SSH密钥,锁定其他用户,然后杀死其他挖矿程序,独占资源。
此外,还发现了针对MIPS架构的恶意软件,这类恶意软件通常针对路由器和物联网设备。文章还提到了Gafgyt恶意软件(也称为BASHLITE),这是一种影响物联网设备和基于Linux的系统的僵尸网络,自2014年以来已经发展出多个变种。
这让我想起前几天那个裸奔 15 分钟就被攻破的 Windows XP 了
7 个帖子 - 3 位参与者