LINUX.ORG.RU
ФорумTalks

Honeypot-ловушка своими руками


0

0

Мою машину переодически сканят по открытому ssh (пытаются подобрать пароль). Пароли у меня крепкие, но все равно неприятно. Хочу настроить простенкий honeypot (ну технически не honeypot но я термина конкретного не знаю, поэтому и спрашиваю). Типа есть открытый порт, кто-то на него пытается зайти и его IP тут-же блокируется. Те кто сканируют машины используют простенькие скрипты, поэтому я думаю такого хватит на 90% случаев. Теперь вопрос - писать самому или же уже есть что-то в этом духе?


я бы на этот порт повесил експлоит, чтоб атаковал машину, которая зайдет прям :)

lester_dev ★★★★★
()

>Типа есть открытый порт, кто-то на него пытается зайти и его IP тут-же блокируется.

тогда уж лучше просто порт не открывать.

dn2010 ★★★★★
()
Ответ на: комментарий от dn2010

>тогда уж лучше просто порт не открывать.

Мне нужно чтоб sshd работал в бэкграунде, но нехорошики чтоб не трогали мою машину. Порт открыт чтоб плохиши в него стучались. А как постучались так их соовсем и режет - к любому порту доступа им нет. По моему очень не плохо получается.

2Demetrio: спасибо. Будем ставить. Только ssh я туда все же совать не буду: простой сервер socket() -> bind() -> accept(). Нихто непрорвется!

Krechet
() автор топика

Там писать-то - 15 минут :)

anonymous
()

у меня настроено так, что при превышении определённого кол-ва коннектов в период веремени на ssh пост -- банн на IP

делаятся в pf штатными средствами (искать в man'е `max-src-conn-rate')

beastie ★★★★★
()
Ответ на: комментарий от beastie

Если у тебя ssh только для себя можно сделать port knocking.

XeDuH
()
Ответ на: комментарий от beastie

port knocking не подхотит: я логинюсь с виндовых машин или Маков, и прав админа у меня нет. Флешки тоже нет поэтому автомотизировать процесс логина будет невозможно.

>у меня настроено так, что при превышении определённого кол-ва коннектов в период веремени на ssh пост -- банн на IP

Это на самом деле не интересно. Дело в том что я иногда использую FileZilla для закачки файлов на свою машины с публичных терминалов. И если закачивается много мелких файлов то происходит много мелких коннектов. Интересно так:

порт 22 - сервер пустышка. По iptables если есть 3 коннекта на этот порт (3 на всякий случай - чтоб я себя не забанил часом) IP перманентно блокируется.
порт 1022 - нормальный ssh без прибамбасов и без ограничений.

По той ссылке которую написал Demetrio я взял правила для iptables и немного их переиначил. Получилось вот:

iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --set
iptables -A INPUT -m recent --name radiator --update --seconds 60 --hitcount 3 -j DROP

На практике получилось не совсем то что хотелось: после трех подключений к этому компу на порт 22, подключатель блокируется, но не навсегда а на некоторое время (почему-то минуты на три-пять). Хотя на время тоже не плохо, но навсегда наверно лучше. С другой стороны вот вопрос: если я перезагружу систему, этот список (radiator) обнулится? И если в него будут постоянно писатся адреса то вырастет ли он занимая всю системную память?

Krechet
() автор топика
Ответ на: комментарий от Krechet

> ... И если закачивается много мелких файлов то происходит много мелких коннектов.

это роли не играет -- мониторятся только коннекты на 22й порт

beastie ★★★★★
()
Ответ на: комментарий от Scream

Интересно. Жаль DD-WRT micro не поддерживает, а то точно бы поставил.

Krechet
() автор топика
Ответ на: комментарий от Scream

Интересно а если поменять DROP на TARPIT что будет? Типа:

iptables -A INPUT -m recent --name radiator --update --seconds 60 --hitcount 3 -j TARPIT

Krechet
() автор топика
Ответ на: комментарий от Krechet

И самое интересное: что сделает

iptables -A INPUT -p tcp -m tcp -m mport --dports 135,139,1025 -j TARPIT

в сети где полно виндовых машин? Там же вроде самба исчет виндовые шары :) По идее должно все на*** завесить.

Krechet
() автор топика
Ответ на: комментарий от Krechet

Сам потом забудешь и по 22 порту стукнешся, они тебя успешненько зафайрволит и тут-то ты и поедешь на край света поближе к консольке :)

mezantrop
()
Ответ на: комментарий от mezantrop

Поетому и три раза а не один! Да и банит он на 6 минут теперь.

Про knockd слышал.

Krechet
() автор топика

Имейте совесть. Это должно быть в Security.

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.