La conexión SSH de Honeypot intenta sin interacción

2

Estoy viendo mucho (> 50% del total de eventos) de eventos de conexión en un honeypot que he configurado, pero no hay más interacción, no hay fuerza bruta, solo una conexión y luego una desconexión.

Estoy pensando que esto es solo un tipo de escaneo para ver si es realmente SSH o para asegurarme de que no esté usando autenticación basada en cert, pero no entiendo por qué no podría comenzar una fuerza bruta.

He estado buscando a través de algunos de los códigos fuente para las botnets. No he encontrado nada que sugiera que solo probarían una conexión.

No tengo mucha experiencia con la configuración de una red de bots, por lo que cualquier explicación o código fuente que pueda tener sería de gran ayuda.

    
pregunta Derezzed 04.10.2018 - 11:36
fuente

1 respuesta

2

Solía ejecutar algunos honeypots y ese es el patrón típico:

  1. las exploraciones buscan servicios válidos
  2. procesa los servicios de fuerza bruta y luego cierra la sesión de inmediato sin tomar medidas
  3. los atacantes inician sesión y realizan acciones

En muchos casos, las 3 fases pueden ocurrir días separados entre sí. Las direcciones IP entre las fases nunca se correlacionarían, y los atacantes iniciarían sesión con las credenciales correctas la primera vez.

Era como si hubiera robots "exploradores" que encontraran servidores, redes de bots que los forzaran, y luego verificasen credenciales vendidas o distribuidas a los atacantes.

    
respondido por el schroeder 04.10.2018 - 12:14
fuente

Lea otras preguntas en las etiquetas