Honeypot Project – Wie exponiert sind öffentliche Server wirklich?

Ein Vorsatz, welchen ich mir eigentlich schon länger vorgenommen hatte und nun doch noch endlich mal umgesetzt hatte, ist ein eigener Honeypot. Ziel ist es, herauszufinden, wie exponiert ein öffentlicher Server wirklich ist und dazu habe ich konkret ein SSH Honeypot aufgesetzt und mit einer mehr oder weniger komplexen Konfiguration ausgestattet. Der Honeypot ist am Ende nur low-interactive, doch zum Erfassen von grundlegenden Scans, Passwortversuchen und den ersten Gehversuchen auf einem möglicherweise erfolgreich kompromittiertem System reicht es allemal aus.

Zum Setup ist zu sagen, dass die Maschine sowie die IP bisher nicht genutzt wurden und erst kurz vor dem Honeypot selbst mit online gekommen sind. Die Maschine ist also ziemlich neu im Internet. Mit diesem Wissen im Hinterkopf hat es mich umso mehr erstaunt, dass es knapp 25 Minuten gedauert hat, bis der erste Loginversuch aus Vietnam eingetroffen ist:

Quelle: 113.175.130.234
Version: SSH-2.0-JSCH-0.1.51
Login-Methode: none, keyboard-interactive

Das es ein automatisierter Versuch ist, zeigte sich in den wenigen User/Passwort-Kombinationen, die der Angreifer versuchte:

1. Versuch: „support“ | „support“
2. Versuch: „support“ | „“
3. Versuch: „support“ | „support“

Nach insgesamt 5 Sekunden war der Angreifer auch bereits schon weiter gezogen, weil keiner der Versuche erfolgreich waren – ein weitere Indikator für ein automatischer Probe.

Viel interessanter wird es nun, sobald der erste nicht-automatisierte Angriff eintrifft. Meine Vermutung wäre, dass diese Ankommen, sobald die IP das erste Mal bei z.B. Shodan.io erfasst und gelistet wird… Seien wir gespannt. 🙂

Wer die Angriffe ein bisschen verfolgen möchte, der kann das hier machen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.