Зловредные попытки входа SSH все чаще появляются в логах, и в этой статье
рассказывается про использование honeypots, анализ попыток проникновения в SSH,
также даются советы как защитить свою систему.

Используем honeypots для исследования

    New Zealand Honeynet Alliance - организация, занимающаяся исследованием
безопасности систем путем изучения тактик атак с применением honeypots.
Honeypots - компьютерные системы, открытые для различного рода атак, с отсутствием
видимой защиты, что помогает исследователю анализировать все попытки
злоумышленников проникнуть в систему.

(http://en.wikipedia.org/wiki/Honeypot_(computing) - более подробнее можно
почитать).

    Honeypot был установлен в Университете Виктории, Веллингтон для исследования
злонамеренной активности, происходящих в нем. Между обычной машиной и honeypot
не было никакого различия, однако все события логировались с помощью Honeynet
Alliance Roo honeywall, которая учитывала весь протекающий через машину траффик.
Все системные события фиксируятся на самом honeypot через собственную систему.

    Система была запущена на RedHat 9 с SSH, и была свободно запущен в Сеть. После
того как в прошлых сборках был отмечен повышенный интерес к SSH, сервер был
пересобран, и теперь записывались все логины с паролями, с которыми пытались
приконнектится к SSH. Машина была выведена в сеть 11 июля 2006 а в оффлайн - 1
августа 2006, практически через месяц после запуска.

    В дальнейшей конфигурации, honeypot, запущеный с 8 июня до 4 июля, был добавлен
модуль Sebek, который логирует данные злоумышленика, при малейшей опасности для
системы. Также было создано несколько аккаунтов с часто используемыми логинами и
паролями.

    Анализ этого нападения, как и последующих представлен в таблицах ниже, покажет
нам как происходит нападение.

Анализ попыток логина

    Здесь приведется анализ данных полученных нашим honeypot в период с 1 июля до 1
августа, на основе логов honeypot и системы. Это включает дату, время, IP адрес,
с которого происходила попытка входа, логин и пароль.