Honeypot для SSH

Практически первый совет по защите удалённого доступа — сменить порт ssh. Это, безусловно, полезно и позволяет отсечь основную массу брутфорса и в разы уменьшить количество мусора в логах. Но это эффективно только в отношении простых ботов и школьников. От индивидуального взлома этого мало, нужны и другие меры.

Скажем, смена порта может стать поводом для более пристального сканирования. Возможно, правильно было бы продемонстрировать злоумышленнику, что ssh по-прежнему находится на порте 22. Для этой цели существует такая штука как Honeypot («горшочек с мёдом»), иначе говоря приманка. Приманки бывают разные, в том числе полностью эмулирующие поддельную виртуальную машину, но сейчас речь о ssh.

Вот, например, Kippo, это honeypot, эмулирующий поддельный ssh на 22 порту. Он изображает полноценную файловую систему Debian, создавая у атакующего иллюзию доступа к критическим файлам, например

cat /etc/passwd

Ведутся даже логи доступа в поддельном /var/log для убедительности.

Кроме прочего, приманка может эффективно использоваться для сбора информации об атаках. Например, есть проект Kippo-Graph для сбора и визуализации статистики от Kippo.

Проект Kippo давно не обновлялся, есть более свежий форк Cowrie.

Оригинал: VK.com

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *