Attira attacchi di forza bruta SSH

15

Ho postato una domanda su Errore del server , ma ho avuto downvoted e ho avuto la domanda chiuso.

Uno dei commenti suggerisce di guardare qui, quindi ecco qui:

For my senior project, I'm working on an application which works to handle brute force SSH attacks.

I have a VPS which seems to get a few hundred, if not thousand, hits a day, but I'm getting two to three new VPS's just to analyze the attempts.

What's the fastest way to get people to attack my servers?

None of the data will be made public - no IP addresses will be released. It'll be completely consequence free. The servers will have a fresh Ubuntu installation with a python script running, nothing else.

I was thinking:

  • Ask on "hacking" forums
  • Offer reward ($15 Gift Card?) if they manage to break in
  • Honeypot

I don't care if my servers get hit hard - more data the better. There could be 1000 attempts/second for all I care.

I'm not sure if this is the right site to ask on, but I figured I'd try...

Come un altro commento sulla domanda originale ha detto, il mio fornitore di VPS potrebbe non essere felice se il mio VPS viene colpito duramente. In questo caso, mi occuperò / parlerò loro del problema.

    
posta citruspi 20.01.2013 - 20:24
fonte

4 risposte

21

Ci sono principalmente due tipi di attaccanti: l'automatico e il bersaglio.

Gli attaccanti automatici non sono umani; sono macchine infette, parte di varie botnet, che cercano di espandere la loro base trovando altre macchine da infettare. La loro strategia è per lo più casuale: provano l'indirizzo IP casuale per un server SSH aperto, quindi provano le password comuni per i nomi di account comuni. C'è poco da fare per aumentare (o, per questo, diminuire) la quantità di connessioni di questo tipo che riceverai ogni giorno. Alcuni provider di rete tentano di rilevare queste occorrenze e bloccarle o limitarne la velocità, in modo da poter parlare con il proprio provider e verificare se dispone di tali sistemi.

Gli attaccanti mirati sono umani che vogliono crackare la tua macchina, in particolare. Per ottenere quel tipo di aggressore, è necessario fornire una sorta di motivazione. Potresti provare a vantarti di alcuni "beni" desiderabili memorizzati sul tuo server (ad esempio, tonnellate di copie piratate di gam o musica o film), per cui vale la pena di dirottare la tua macchina. Potresti provare ad ospitare un blog orientato alla politica con posizioni molto controverse. A volte vantarsi di per sé attira gli attaccanti: tutti amano zittire un insuperabile know-it-all e hackerare il suo server sembra un modo efficiente per ottenerlo. In poche parole: crea alcuni nemici .

Si noti, tuttavia, che le password di forzatura brute rappresentano il livello più basso di attacchi. Se alcuni dei tuoi nemici appena acquisiti sono un po 'competenti, tenteranno altri tipi di attacchi, come lo sfruttamento delle vulnerabilità nel tuo software. Inoltre, alcuni di loro potrebbero pensare "fuori dagli schemi" e non prendere di mira il tuo server, ma tu, direttamente; ad esempio, se cercano il nome di un dominio che possiedi, potrebbero ottenere il tuo indirizzo o numero di telefono e farti visita di persona. Come regola generale, sconsiglio di fare nemici . Non esiste una cosa come "conseguenza gratuita"; ci sono solo "conseguenze improbabili".

Se è per la ricerca , potresti provare ad avvicinarti agli amministratori di sistema di alcuni importanti siti o infrastrutture. Questo è il tuo progetto senior: pertanto, esiste un potenziale supporto accademico . Con l'aiuto del tuo professore o consulente, potresti provare a vedere se un ISP o un grande servizio di hosting sono d'accordo con la raccolta di dati sul loro sistema; potrebbero persino trovare qualche beneficio fiscale nella collaborazione con un progetto scientifico. In alternativa, la maggior parte degli amministratori di sistema sono dipendenti da Guinness e può accettare di aiutare un co-bevitore, specialmente dopo la terza pinta (il tuo profilo dichiara che hai 17 anni e vivi negli Stati Uniti, quindi questa soluzione non può essere ufficialmente praticabile per te). / p>     

risposta data 20.01.2013 - 21:08
fonte
9

Il tuo problema è il posizionamento di un honeypot .

Considera che gli aggressori eseguiranno la scansione di Internet per cercare la porta 22 aperta, ma non esploreranno l'intero spazio IP dall'inizio alla fine. I server sono concentrati in alcune parti dello spazio IP. Analogamente, gli abbonati Internet semplici si trovano in altre parti di quello spazio. Quindi devi usare gli IP nei punti giusti per il tuo honeypot.

Il problema diventa trovare quei blocchi IP che ospitano molti server per migliorare le tue possibilità. Per quello posso pensare a un paio di modi:

  • Acquisto di VPS dai maggiori fornitori perché questi verranno analizzati di più.
  • Acquisto di VPS più economici da fornitori diversi.
  • Ottenere l'aiuto di altri progetti honeypot. Forse Progetto Honeypot o Honeynet project può aiutare .

Assicurati di aver scelto un fornitore che non rileva e blocca tali attacchi di forza bruta.

    
risposta data 20.01.2013 - 21:19
fonte
3

Penso che tu abbia la risposta giusta per postare sui forum di hacking, quelli per chi è più interessato al processo che al guadagno. $ 15 non interesseranno a un hacker di guadagno, e tu (si spera) nessuna informazione vale la pena rubare. Di 'loro che hai costruito un SSHD che è molto difficile da decifrare, complimenti a chiunque lo possa rompere. Potrebbe suscitare interesse.

In alternativa potresti essere in grado di ottenere i tipi di guadagno che lo attaccano se riesci a convincerli a pensare che ci sia qualcosa su cui valga la pena avere, il che richiederebbe di inventare una sorta di storia. Potresti postare su qualche forum di hacker che hai fatto irruzione in questi server che contenevano cose davvero interessanti (elenchi di carte di credito, piani per una sorta di nuovo reattore nucleare, ecc.), Ma hanno rattoppato il buco così hai perso il tuo accesso, qualcuno avere un modo? Guarda cosa succede.

    
risposta data 20.01.2013 - 21:08
fonte
3

Penso che una vasta varietà di host sarà la chiave per te. Ho appena controllato i pochi host che gestisco che hanno la porta 22 aperta al mondo e hanno visto tutti quanti migliaia di tentativi al giorno. Non ho visto più di 15.000 in un giorno. Sembra abbastanza normale.

Ho controllato tre host presso tre diversi provider di hosting: AWS EC2, OVH e iomart. Tutti in paesi diversi ma tutti centrati in Europa.

Vedo strategie distintamente diverse di bot diversi. A volte un singolo IP genera migliaia di tentativi con root utente e mai nessun altro utente. Altri bot eseguiranno 5-10 tentativi a utenti comuni come ftp e postgres e un tentativo ciascuno a un gruppo di nomi utente meno comuni come test1 , test2 , test3 , test4 .

La maggior parte dei bot vedo sempre la porta sorgente sopra i 30.000 ma c'è almeno un bot che sceglie sempre una porta sorgente di quattro cifre e, supponendo che stia attaccando altri host simultaneamente, ogni nuovo tentativo incrementa la porta sorgente di uno fino a si avvicina a circa 1000 dopo aver colpito 9999. In realtà, ora che guardo più da vicino, il bot a 5 cifre dell'origine porta a 61.000 fino a 33.000. Questo dovrebbe darti un buon modo per stimare quanti altri tentativi sta facendo un bot su altri host in parallelo a quelli che vedi.

Non so se ci sarà una differenza in quanti e quali tipi di attacchi ci sono tra fornitori o paesi, ma sarebbe un aspetto interessante da aggiungere alla tua ricerca. Non mi sorprenderebbe se gli host americani fossero presi di mira di più.

Potrebbe valere anche non concentrarsi solo sulla porta 22. Ricordo che anni fa ho eseguito una finestra con ssh sulla porta 10000. Abbiamo visto migliaia di tentativi di accesso Webmin che hanno colpito la nostra porta ssh. Sono rimasto colpito da quanti tentativi ci sono stati in quella che consideravo una porta molto meno comune da aprire. Ora capisco che gli amministratori di sistema che usano Webmin hanno molte più probabilità di avere una password predefinita o semplice e di non notare che la loro casella è sotto il controllo di qualcun altro, quindi il rapporto di successo potrebbe essere stato molto più alto su quel tipo di porta. Potrebbero verificarsi molti tentativi di accesso alle porte 21 e 23. Inoltre, potrebbero essere le porte 110 (POP), 143 (IMAP) e 3389 (RDP).

Le istanze di Amazon EC2 potrebbero essere un ottimo piano. Puoi ottenere Micro istanze sul livello gratuito e ricevi 750 ore di istanze al mese gratuite, che possono essere spesi come una singola istanza che viene attivata tutto il mese o 30 istanze che sono tutte attive per un solo giorno al mese. 30 istanze dovrebbero farti 30 volte il numero di tentativi al giorno ma approssimativamente lo stesso numero al mese. Posizionare le tue istanze in regioni diverse dovrebbe fornire reti IP diverse e, auspicabilmente, diversi tipi di traffico di attacco.

    
risposta data 21.01.2013 - 01:21
fonte

Leggi altre domande sui tag