Есть ли ловушка для ssh в linux?

Question

Сергей Карбивничий @hottabxp

Сначала мы жили бедно, а потом нас обокрали..

Linux
SSH

Есть ли ловушка для ssh в linux?

Здравствуйте. Недавно купил VPS. В течении пару дней 2 раза блокировали мою ВМ по причине "колоссальная нагрузка". Позже, изучив логи на сервере, узнал что ВМ взломали через ssh(пароли были простые). Теперь смотрю, что каждую минуту ко мне стучатся несколько десятков ip через ssh(наверное бот-сеть). Есть fake ssh, что бы я указал простой логин и пароль, и ко мне подключились. Разумеется не по настоящему ssh, а по фейковому, что бы можно было посмотреть что за команды мне передают.

Вопрос задан более трёх лет назад
3217 просмотров

10 комментариев

Подписаться 8 Средний 10 комментариев

Lynn «Кофеман» @Lynn

Проще перекинуть ssh на другой порт, а 22 закрыть. Ну и пароли заменить на ключи

Написано более трёх лет назад
Сергей Карбивничий @hottabxp Автор вопроса

Алексей Тен, Для безопасности, да. Но мне наоборот нужно что-бы ко мне подключились, а я мог смотреть какие команды выполняются не сервере( разумеется, что-бы команды не выполнялись, а лишь записывались в лог файл).

Написано более трёх лет назад
sim3x @sim3x

что бы можно было посмотреть что за команды мне передают.
зачем вам смотреть на комманды бота?

Написано более трёх лет назад
alex1478 @alex1478

2 раза блокировали мою ВМ по причине "колоссальная нагрузка".

Может вам и хостинг заодно сменить? Нормальные провайдеры такой ерундуй не занимаются.

Написано более трёх лет назад
Сергей Карбивничий @hottabxp Автор вопроса

alex1478, Нет, я там сам был виноват. Установил простой пароль, и методом перебора подобрали эти гады пароль к моей ВМ. Потом слали спам(ip моей ВМ добавили в спам-базы).

Написано более трёх лет назад
Сергей Карбивничий @hottabxp Автор вопроса

sim3x, Ради интереса. Есть же сайты, которые специально настраивают так, что-бы этот сайт взломали. Потом админы сайта смотрят, что на нем происходит. Как-то так. Видел в интернете(возможно на хабре) статью об этом.

Написано более трёх лет назад
sim3x @sim3x

Сергей Карбивничий, Вы же понимаете, что ваш уровень, как настройщика хонейпота должен быть сильно выше взломщика в таком случае?

Написано более трёх лет назад
Сергей Карбивничий @hottabxp Автор вопроса

sim3x, Конечно понимаю. Сейчас ищу всю возможную информацию по этой теме.
PS: Honeypot - это похоже то, что нужно. Спасибо!

Написано более трёх лет назад
Александр @Survtur

Сергей Карбивничий, а насколько был простой пароль? 11111? или Fja_451mv@5kA3? А то может мне тоже надо пароль усложнить?

Написано более трёх лет назад
Сергей Карбивничий @hottabxp Автор вопроса

Александр,Пользователь - root, пароль - toor

Написано более трёх лет назад

Решения вопроса 1

2 комментария

Пригласить эксперта

Ответы на вопрос 6

2 комментария

1 комментарий

3 комментария

Комментировать

3 комментария

Сергей Карбивничий @hottabxp Автор вопроса

Читал вчера эту статью. Но это немного не то. Мне нужно писать в лог команды, присылаемые ботами.

Написано более трёх лет назад
Денис @ttys

Сергей Карбивничий, да нету там комманд. То есть курлом выкачивает бинарник с фтп и запускает его. Всё.
А тот в свю очередь создаёт автозапуск других бинарей и те уже выкачивают списки кого брутить.

Если заняться больше нечем то можешь тратить время. (Выкачивается всё с китайских адресов)

Написано более трёх лет назад
Сергей Карбивничий @hottabxp Автор вопроса

Денис, Спасибо за ответ, именно это меня и интересовало.

Написано более трёх лет назад

2 комментария

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Linux

Средний
Linux на SSD рядом с Win10, на внешний HDD или виртуализация?
- 1 подписчик
- 4 часа назад
- 89 просмотров
4

ответа
Linux

+1 ещё

Простой
Что делать, если пишет «error: unknown filesystem Enering rescue mode... grub rescue>»?
- 1 подписчик
- 15 часов назад
- 94 просмотра
1

ответ
Linux

+3 ещё

Простой
Как вернуть обратно gnome 44 в Kali linux?
- 1 подписчик
- 16 часов назад
- 62 просмотра
0

ответов
Linux

+1 ещё

Средний
Astra Linux — как избавиться от шума в HDD?
- 2 подписчика
- 20 часов назад
- 263 просмотра
4

ответа
Linux

+2 ещё

Простой
Что выбрать для проекта Windows Embedded или Linux?
- 1 подписчик
- вчера
- 155 просмотров
4

ответа
Linux

+1 ещё

Средний
Как переименовать файлы и папки с одинаковым именем, но разным регистром?
- 1 подписчик
- вчера
- 106 просмотров
0

ответов
Linux

Простой
Почему не отрабатывает REISUB?
- 1 подписчик
- вчера
- 67 просмотров
1

ответ
Linux

+1 ещё

Средний
Как выглядят данные об авторизации linux?
- 1 подписчик
- вчера
- 154 просмотра
2

ответа
Linux

+1 ещё

Простой
Как сделать автоматическую проверку работоспособности и рестарт Apache и Mariadb в случае падения?
- 1 подписчик
- вчера
- 97 просмотров
2

ответа
Linux

Средний
При включении установочника Astra Linux — выдаёт ошибку «Error:out of memory», что делать?
- 2 подписчика
- вчера
- 258 просмотров
3

ответа
Показать ещё Загружается…

Программист C для Embedded Linux

Radiofid • Санкт-Петербург

от 120 000 до 180 000 ₽

Linux Администратор DevOps

ИМАГ • Москва

от 150 000 до 170 000 ₽

Системный администратор Linux (SysOps)

Sipuni

от 180 000 ₽

Создать логотип

19 апр. 2024, в 14:10

500 руб./за проект

Разработка дизайна мобильного приложения которое управляет вентиляцией

19 апр. 2024, в 14:01

70000 руб./за проект

Софт на js

19 апр. 2024, в 13:31

10000 руб./за проект

Проще перекинуть ssh на другой порт, а 22 закрыть. Ну и пароли заменить на ключи
Алексей Тен, Для безопасности, да. Но мне наоборот нужно что-бы ко мне подключились, а я мог смотреть какие команды выполняются не сервере( разумеется, что-бы команды не выполнялись, а лишь записывались в лог файл).
что бы можно было посмотреть что за команды мне передают.
зачем вам смотреть на комманды бота?
2 раза блокировали мою ВМ по причине "колоссальная нагрузка".

Может вам и хостинг заодно сменить? Нормальные провайдеры такой ерундуй не занимаются.
alex1478, Нет, я там сам был виноват. Установил простой пароль, и методом перебора подобрали эти гады пароль к моей ВМ. Потом слали спам(ip моей ВМ добавили в спам-базы).
sim3x, Ради интереса. Есть же сайты, которые специально настраивают так, что-бы этот сайт взломали. Потом админы сайта смотрят, что на нем происходит. Как-то так. Видел в интернете(возможно на хабре) статью об этом.
Сергей Карбивничий, Вы же понимаете, что ваш уровень, как настройщика хонейпота должен быть сильно выше взломщика в таком случае?
sim3x, Конечно понимаю. Сейчас ищу всю возможную информацию по этой теме.
PS: Honeypot - это похоже то, что нужно. Спасибо!
Сергей Карбивничий, а насколько был простой пароль? 11111? или Fja_451mv@5kA3? А то может мне тоже надо пароль усложнить?
Александр,Пользователь - root, пароль - toor

Answer 1 · 2019-03-30 19:13:58

ValdikSS @ValdikSS

https://github.com/cowrie/cowrie
https://github.com/desaster/kippo

Ответ написан более трёх лет назад

2 комментария

Answer 2 · 2019-03-29 23:55:05

Wexter @Wexter

fail2ban не?

Ответ написан более трёх лет назад

2 комментария

Answer 3 · 2019-03-29 23:51:31

Рональд Макдональд @Zoominger

System Integrator

Создайте пользователя без прав и с chroot в /tmp с лимитом в 1 Мб и логированием всех введённых команд.

Ответ написан более трёх лет назад

1 комментарий

Answer 4 · 2019-03-30 00:24:23

Endlessh

Представлен проект Endlessh, в рамках которого подготовлен простой фиктивный SSH-сервер, который пытается максимально долго удерживать установленные соединения открытыми на начальной стадии подключения к SSH-серверу. Endlessh может использоваться для затруднения работы различных вредоносных систем, постоянно перебирающих пароли и сканирующих хосты на наличие определённых сетевых сервисов.

Answer 5 · 2019-03-30 09:03:06

Blaine_Mono @Blaine_Mono

Настройте вход по ключу и отключите авторизацию по паролю.

Ответ написан более трёх лет назад

Комментировать

Answer 6 · 2019-03-30 15:33:23

Александр Горбунов @Avenax

php dev webcom group

Ловушка (тарпит)
https://m.habr.com/ru/company/globalsign/blog/445318/

Ответ написан более трёх лет назад

3 комментария

Answer 7 · 2019-03-29 23:56:46

Используйте fail2ban для ограничения активности ботов. Нестандартный порт так же значительно снижает вероятность стать целью.

Если хотите поиграться, попробуйте настроить lshell

Есть ли ловушка для ssh в linux?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт