La connessione Honeypot SSH tenta senza interazione

2

Vedo molto (> 50% degli eventi totali) di eventi di connessione su un honeypot che ho impostato, ma non c'è alcuna interazione, nessuna forza bruta, solo una connessione e poi la disconnessione.

Penso che questo sia solo una sorta di scansione per vedere se è veramente SSH o per assicurarsi che non stia usando un'autenticazione basata sul certificato, ma non capisco perché non dovrebbe iniziare una forza bruta.

Ho guardato attraverso il codice sorgente di botnet e non ho trovato nulla che suggerirebbe di testare solo una connessione.

Non ho molta esperienza con l'impostazione di una botnet, quindi qualsiasi spiegazione o codice sorgente potrebbe essere davvero utile.

    
posta Derezzed 04.10.2018 - 11:36
fonte

1 risposta

2

Ho usato alcuni honeypot e questo è lo schema tipico:

  1. scansioni cercano servizi validi
  2. elabora bruteforce i servizi e si disconnette immediatamente senza prendere provvedimenti
  3. gli utenti malintenzionati accedono ed eseguono azioni

In molti casi, le 3 fasi potrebbero verificarsi a giorni di distanza l'una dall'altra. Gli IP tra le fasi non sarebbero mai correlati e gli aggressori si collegheranno con le credenziali corrette la prima volta.

Era come se ci fossero robot di "scout" che trovavano server, botnet che li appesantivano, quindi verificavano le credenziali vendute o distribuite agli aggressori.

    
risposta data 04.10.2018 - 12:14
fonte

Leggi altre domande sui tag