SSH Honeypot rivela attacchi e tentativi di accesso
Un honeypot è un sistema che rileva e registra gli attacchi quando un intruso cerca di accedere a un sistema. In questo articolo, ci concentriamo su un honeypot SSH.
Ambiente di Test:
- OS: Ubuntu 24.04 LTS x86_64
- Kernel: 6.8.0-31-generic
Analisi degli Attacchi:
Sono stati registrati un totale di 11.599 tentativi di accesso. Divisi per 30 giorni, questo si traduce in una media di 386 tentativi di accesso al giorno.
Usernames Utilizzati:
- 8181 tentativi sullo username ‘root’
- 977 tentativi sullo username ‘345gs5662d34’
- 359 tentativi sullo username ‘admin’
È stato osservato che molte degli attacchi mirano a nomi utente predefiniti. Lo username ‘345gs5662d34’ potrebbe essere una credenziale di default per il telefono IP Polycom CX600.
Password Utilizzate:
- 967 tentativi con la password ‘345gs5662d34’
- 3245 tentativi con la password ‘345 gs 5662 d 34’
- 246 tentativi con la password ‘admin’
Ancora, le password predefinite erano frequentemente utilizzate.
Comandi Eseguiti Dopo Login:
- 6775 comandi per echo -e “\x6F\x6B”
- 1016 comandi per cd ~; chattr -ia .ssh; lockr -ia .