Quali sono i pericoli di esporre account utente debolmente protetti legati a una shell falsa su ssh?

5

Come chiunque abbia un server in grado di capire da un'esperienza di prima mano, ci sono dei robot che cercano costantemente di potenziare la forza con nomi utente comunemente trovati su SSH.

Un mio amico ha creato un certo numero di account con questi nomi utente comuni (ad eccezione di "root"), ha dato loro password estremamente deboli e li ha allegati a una shell falsa. La shell finta non funziona in alcun modo: mostra solo alcune risposte predefinite che assomigliano a un sistema molto rotto e registra i comandi inseriti dall'utente in un file.

Supponendo che questa shell falsa non abbia alcuna vulnerabilità di sicurezza da sola, quali potrebbero essere i possibili pericoli di una tale configurazione?

    
posta user2064000 12.03.2016 - 13:54
fonte

2 risposte

4

La shell è probabilmente l'ultima delle tue preoccupazioni. Il server SSH è un software di grandi dimensioni con molte funzionalità fornite a chiunque possa effettuare l'accesso. Forse uno dei pericoli più ingenui sarebbe che il port forwarding è ancora abilitato, consentendo l'hacker attraverso il firewall.

Inoltre, una volta che qualcuno effettua il login, viene presentata una superficie di attacco più grande sul server SSH, consentendo loro di sfruttare meno gravi falle di sicurezza che sono normalmente disponibili solo per utenti relativamente fidati.

Gestire un vaso di miele può essere piuttosto pericoloso ... deve essere una macchina isolata. Anche una macchina isolata potrebbe essere utilizzata per attività illegali.

    
risposta data 24.10.2016 - 22:19
fonte
3

this fake shell does not have any security vulnerability by itself

... di solito è l'assunto sbagliato. Ho giocato con questa idea qualche tempo fa, ma non ho trovato alcuna ragione per fare una cosa del genere.

Potrebbe essere interessante come una ricerca sul comportamento di hacker / bot, ma per questo hai già soluzioni esistenti, che dovrebbero essere più appropriate e probabilmente più sicure e dare più dati. Inoltre, se vuoi giocare con honeypot e osservare gli hacker, ci sono alcune assunzioni che ti mancano:

  • root è l'obiettivo più comune. Attaccare utenti diversi dà agli attaccanti meno possibilità di sfruttare. Rinunciando a questo account (proteggendolo bene o disattivando l'accesso) perdi molti dati possibili.
  • Anche le password semplici potrebbero essere difficili da indovinare in combinazione con i nomi utente comuni. Se il tuo caso d'uso è sopra (guardando hacker / bot), potresti ottenere davvero pochi dati da tale configurazione poiché la maggior parte delle scansioni fallisce.

E pochi bit alla tua domanda:

  • i tuoi account potrebbero essere esposti a servizi diversi, dove potrebbero essere utilizzati in modo improprio, ad esempio SMTP per inviare SPAM tramite il tuo server
  • la sicurezza della shell come menzionato all'inizio ancora una volta e l'accesso da esso a qualsiasi risorsa (file, rete, chiamate di sistema, ...)
risposta data 12.03.2016 - 16:22
fonte

Leggi altre domande sui tag