Меня взломали за два дня. Есть интересная идея!

Задумали мы как-то с корефаном (надеюсь, он всё-таки прочтёт это и отметится), сделать сайтец. Ну сайт-сайтом, нужен хостинг. И выделил он мне как-то виртуальную машину на своём сервере, а также внешний IP адрес. И установленную систему Debian. Ну и поставил он мне простенький пароль рута, чтобы я мог админить.

Поставил я туда apache2, mysql, php и прочую тему, начал настраивать, планомерно (не особо утруждаясь).. И вот, спустя ровно два дня пишет мне Серёга, мол, чё-то наша виртуалка генерит много трафика, аж аппаратура захлёбывается, да и утилизация проца 99%.

Сел разбираться. Оказывается, какие-то злоумышленники бахнули нашу виртуалку, закачали вредоноса и получили бота в ботнет.

Устранить на месте у меня сразу не получилось, я конечно сменил пароль рута (а был очень простой пароль), удалил нового пользователя, невесть откуда взявшегося с uid= 0 (суперпользователь). Но в списке процессов наблюдались 5 каких-то левых программ с именами, состоящими из случайного набора символов, причём эти имена менялись каждый раз (что затрудняет их убийство).

Решить с наскоку, как я и сказал, у меня не получилось, поэтому принял решение грохнуть всё и поставить с нуля, уже CentOS, с которым у меня в последнее время более дружные отношения.

Сразу же был установлен сложный пароль рута, запрет на логин по ssh для root, заведён пользователь для этого со сложным паролем, установлен fail2ban, сменён стандартный ssh порт на что-то далёкое. Это, по крайней мере, немного защитит от атак, проводимых по направлению широкого сканирования диапазонов IP адресов на стандартные порты, с последующим брутфорсом по словарям. Как ни странно, атаки, направленные на это, до сих пор могут быть достаточно эффективны (в масштабах статистики).

Я не планирую в будущем поднимать FTP, а передавать файлы по scp. Одной дырой меньше (об этом я писал тут).

А теперь, собственно, задумка. Я описывал уже что такое ханипоты.

hp

Возникла мысль создать специально сформированную виртуальную машину с внешним IP, и снабдить её специальным софтом, ведущим постоянный мониторинг и логирование любых действий. Целеноправленно оставить слабый пароль на ssh и смотреть, каким образом происходят атаки, какие сервисы внедряются, какие файлы появляются.

А вот видеоролик одного неудачливого хакера, угодившего в ханипот. Комменты доставляют.

Интересно? Поделись с другом
Litl-Admin.ru

Comments:

Comments: 2
  1. PrihoD

    Вообще кому интересно, как я вычислил левый трафик. Есть у нас система мониторинга Nagios. Несмотря на то, что она не особо яркая и красивая как тот же Zabbix и SCOM, свою работу она выполняет. Есть там параметр – WAN speed up. как я понял, вычисляет по SNMP. Этот параметр стал вдруг ярко-красным и заметно упала скорость интернет. Затем я пошел смотреть интерфейсы, через кого все-таки там много трафика идет. Само собой, пограничный роутер – Mikrotik. Благодаря утилите Torch, я смог вычислить не только физический интерфейс, с которого идет поток, но и IP-адрес. В очередной раз порадовал меня Микротик, в очередной раз разочаровался в Линуксе и его защите. Субъективное мнение.

    1. litladmin (author)

      Ну что я могу сказать… ) защита ту не то, чтобы совсем дырявая. Скорее админ налажал (в моём лице), оставил дефолтный словарный пароль, нестойкий для брута.
      Сейчас вот заколебутся ломать! ;)

Leave a Reply