Материал просмотрен 473 раз(а)

Задумали мы как-то с корефаном (надеюсь, он всё-таки прочтёт это и отметится), сделать сайтец. Ну сайт-сайтом, нужен хостинг. И выделил он мне как-то виртуальную машину на своём сервере, а также внешний IP адрес. И установленную систему Debian. Ну и поставил он мне простенький пароль рута, чтобы я мог админить.

Поставил я туда apache2, mysql, php и прочую тему, начал настраивать, планомерно (не особо утруждаясь).. И вот, спустя ровно два дня пишет мне Серёга, мол, чё-то наша виртуалка генерит много трафика, аж аппаратура захлёбывается, да и утилизация проца 99%.

Сел разбираться. Оказывается, какие-то злоумышленники бахнули нашу виртуалку, закачали вредоноса и получили бота в ботнет.

Устранить на месте у меня сразу не получилось, я конечно сменил пароль рута (а был очень простой пароль), удалил нового пользователя, невесть откуда взявшегося с uid= 0 (суперпользователь). Но в списке процессов наблюдались 5 каких-то левых программ с именами, состоящими из случайного набора символов, причём эти имена менялись каждый раз (что затрудняет их убийство).

Решить с наскоку, как я и сказал, у меня не получилось, поэтому принял решение грохнуть всё и поставить с нуля, уже CentOS, с которым у меня в последнее время более дружные отношения.

Сразу же был установлен сложный пароль рута, запрет на логин по ssh для root, заведён пользователь для этого со сложным паролем, установлен fail2ban, сменён стандартный ssh порт на что-то далёкое. Это, по крайней мере, немного защитит от атак, проводимых по направлению широкого сканирования диапазонов IP адресов на стандартные порты, с последующим брутфорсом по словарям. Как ни странно, атаки, направленные на это, до сих пор могут быть достаточно эффективны (в масштабах статистики).

Я не планирую в будущем поднимать FTP, а передавать файлы по scp. Одной дырой меньше (об этом я писал тут).

А теперь, собственно, задумка. Я описывал уже что такое ханипоты.

hp

Возникла мысль создать специально сформированную виртуальную машину с внешним IP, и снабдить её специальным софтом, ведущим постоянный мониторинг и логирование любых действий. Целеноправленно оставить слабый пароль на ssh и смотреть, каким образом происходят атаки, какие сервисы внедряются, какие файлы появляются.

А вот видеоролик одного неудачливого хакера, угодившего в ханипот. Комменты доставляют.