Jak utworzyć Honeypot SSH, aby złapać hakerów na serwerze Linux?

Jak utworzyć Honeypot SSH, aby złapać hakerów na serwerze Linux?

Jeśli kiedykolwiek zaglądałeś do dzienników uwierzytelniania swojego serwera, to wiesz, że każdy serwer podłączony do Internetu jest stale narażony na próby logowania ze strony hakerów.

Nawet jeśli Twój serwer jest zupełnie nieznanym serwerem hobbystycznym, automatyczne skrypty go znajdą i będą nieustannie próbować używać SSH metodą brute force. Chociaż prawdopodobnie nie będą się logować, o ile używasz skomplikowanych haseł lub innych środków bezpieczeństwa, zawsze istnieje szansa, że ​​odniosą sukces.

Na szczęście istnieje zabawny i użyteczny sposób na złapanie tych hakerów na serwerze i zatrzymanie ich w zbytnim rozproszeniu, aby spowodować kłopoty.

Co to jest Honeypot SSH?

Mówiąc najprościej, honeypot SSH to wabik, który ma wyglądać jak dojrzały owoc, aby zwabić cyberprzestępców do zaatakowania go. Ale to nie jest prawdziwy cel, a haker często nie zdaje sobie z tego sprawy, dopóki nie jest za późno.

Ssh Honeypot

Honeypot może przybierać różne formy i mieć wiele różnych zastosowań. Czasami są czymś więcej niż rozproszeniem, ale innym razem służą do zbierania informacji o atakującym.

Wiele agencji rządowych używa honeypotów do łapania przestępców, wabiąc ich do ataku, tylko po to, aby zebrać informacje o nich i złapać ich później. Ale honeypoty mogą być również używane przez administratorów pracujących dla firm, a nawet hobbystów, którzy dla zabawy prowadzą serwer Linux.

Dlaczego warto korzystać z Honeypota SSH?

Istnieje wiele powodów, dla których ktoś może chcieć zaimplementować honeypot SSH na swoim serwerze. W niektórych przypadkach możesz chcieć go użyć, aby zablokować od nich wszelkie przyszłe połączenia. Może po prostu chcesz odciągnąć je od prawdziwych celów w twoim systemie. Lub może to być w celach edukacyjnych – aby dowiedzieć się, jak działają ataki.

Na potrzeby tego przewodnika używamy pułapki przede wszystkim jako środka rozpraszającego. W szczególności odwróci uwagę hakera od atakowania bardziej wrażliwych części serwera i sprawi, że będzie zbyt zajęty, aby zaatakować serwer innej osoby.

I przynajmniej w tym przypadku zastosowana metoda będzie również dobra na śmiech lub dwa.

Utknął w SSH

Zasadniczo chcemy złapać hakera, gdy próbuje wymusić logowanie SSH. Jest na to kilka sposobów, ale jednym z najprostszych jest powolne wysyłanie im bardzo długiego banera SSH.

W ten sposób automatyczny skrypt hakera utknie w oczekiwaniu na baner. Może to trwać kilka godzin, a nawet dni lub tygodni. Ponieważ skrypt jest zautomatyzowany, haker może nie zwracać na niego większej uwagi i może nie zdawać sobie sprawy, że jest zablokowany, dopóki nie minie dużo czasu.

Czytać  Jak używać Emacsa dla RSS z Elfeed

Jest to czasami żartobliwie nazywane „tarpitem SSH”, ponieważ skrypt hakerski zacina się i nie może sam wyjść.

Wymaga to znajomości podstawowego użycia SSH. Jeśli nie masz pewności, jak korzystać z SSH, przeczytaj ten przewodnik, aby rozpocząć.

nieskończony

Program, którego używamy, aby to osiągnąć, nazywa się nieskończony i jest zrobiony przez skeeto.

Honeypot Endlessh Github

Po zalogowaniu się na serwer sklonuj repozytorium. (Musisz mieć git zainstalowany.)

Teraz, gdy masz repozytorium na swoim serwerze, będziesz musiał przejść do tego katalogu i skompilować go.

Podczas kompilacji programu mogą wystąpić błędy. Najprawdopodobniej oznacza to, że brakuje zależności, którą program musi skompilować. Musisz sprawdzić, jakiej zależności brakuje, a następnie zainstalować ją za pomocą menedżera pakietów swojej dystrybucji.

Gdy masz już program do skompilowania, będziesz chciał przenieść go do swojego katalogu bin, aby znalazł się na twojej ścieżce.

Będziesz chciał dokładnie sprawdzić, aby upewnić się, że został wykryty po drodze.

Powinien wydrukować/usr/local/bin/endlessh ścieżka. Jeśli tak nie jest, będziesz chciał się upewnić, że został przeniesiony do właściwego katalogu.

Ssh honeypot, który nie ma końca

Następnie przekształć program w demona usługi, aby mógł działać jako systemd Praca.

Gdy skończysz, włącz działanie usługi w tle.

Ssh Honeypot Systemctl Włącz nieograniczone

Domyślnie Infinityh działa tylko na portach powyżej 1024, ale chcemy, aby używał domyślnego portu SSH, abyśmy mogli nakłonić hakerów do próby zaatakowania go. Aby to zrobić, musimy edytować plik usługi.

Ten przykład używa nano do edycji pliku konfiguracyjnego, ale możesz użyć preferowanego edytora tekstu.

Po otwarciu pliku odkomentuj następujący wiersz, usuwając znak #:

Następnie dodaj # na początku tej linii:

Plik usługi Honeypot Endlessh

Zapisz plik i uruchom to polecenie:

Będziesz musiał utworzyć i skonfigurować plik konfiguracyjny, aby Infinityh wiedział, na którym porcie ma działać. Najpierw musisz utworzyć dla niego nowy katalog, a następnie utworzyć plik konfiguracyjny.

Plik konfiguracyjny będzie potrzebował tylko jednej linii. To powie InfinityH, aby działał na porcie 22, który jest domyślnym portem dla SSH. Robimy to, aby uczynić go bardziej atrakcyjnym celem dla hakerów. Zobaczą, że domyślny port SSH jest otwarty, a następnie spróbują się do niego dostać.

Czytać  4 sposoby na sklonowanie pełnego dysku twardego w systemie Linux

Wprowadź następujące informacje w pliku konfiguracyjnym:

Konfiguracja bez końca Honeypot

Musisz uruchomić usługę Infinity.

To wszystko! Teraz będziesz mieć niekończące się godziny pracy na domyślnym porcie SSH i już łapiesz hakerów.

Testowanie tego

Aby upewnić się, że honeypot działa zgodnie z przeznaczeniem, udajmy przez chwilę, że jesteśmy hakerem i spróbujmy uzyskać dostęp SSH na swoim serwerze.

Dopóki wszystko zostało poprawnie skonfigurowane, powinieneś zobaczyć, że ssh Polecenie utknęło i nic nie robi. Przyjrzyjmy się, co się dzieje, gdy Ty (lub prawdziwy haker) wydasz to polecenie.

Powtórz to samo polecenie, ale dodaj -vvv flaga, aby użyć opcji szczegółowej.

Wypróbuj Honeypot Ssh

Teraz powinno być jasne, w jaki sposób to małe narzędzie cię łapie i uniemożliwia dostęp do SSH na twoim serwerze. Powoli, linia po linii, wyślij do klienta bardzo duży baner SSH.

I oczywiście, ponieważ haker zautomatyzował to za pomocą bota, nie zorientuje się, że to się dzieje, dopóki nie zmarnują godzin, jeśli nie dni, swojego czasu.

Częste pytania

1. Czy to uniemożliwi hakerom dostęp do SSH?

Chociaż jest to całkiem dobry środek odstraszający, nie gwarantuje całkowitego powstrzymania hakerów. Uważny haker w końcu zauważy, że utworzyłeś honeypot na swoim serwerze i może wypróbować różne porty, aby uzyskać dostęp do SSH na twoim serwerze.

To jednak powinno wystarczyć, aby powstrzymać hakerów, którzy szukają tylko dojrzałych owoców.

2. Jak korzystać z SSH, jeśli ten program działa na domyślnym porcie?

Musisz zmienić port, na którym działa SSH. Jest to dobra praktyka, nawet jeśli nie masz na swoim serwerze honeypota, ponieważ hakerzy zawsze najpierw przetestują domyślne porty przed szukaniem innych.

3. Czy są inne opcje, które mogę dodać do pliku konfiguracyjnego?

Tak, istnieje kilka innych ustawień, które możesz zmienić, w tym zmiana szybkości opóźnienia.

Możesz zobaczyć listę opcji w przykładowym pliku konfiguracyjnym w repozytorium Github.

Ostatnie słowa

Teraz, gdy nauczyłeś się, jak skonfigurować honeypot na swoim serwerze, aby łapać hakerów i rozpraszać ich, aby nie mogli zaatakować niczego innego, nie jest to jedyny sposób na zabezpieczenie dostępu SSH do serwera.

Zapoznaj się z tym artykułem pokazującym, jak używać kluczy szyfrowania do logowania się do SSH, aby lepiej chronić swój serwer.

Źródło obrazu: Miód w garnku, plastrze miodu i patyku autorstwa Yay Images

Czy ten artykuł jest przydatny?