Atraer ataques de fuerza bruta SSH

En su mayoría, hay dos tipos de atacantes: el automático y el dirigido.

Los atacantes automáticos no son humanos; son máquinas infectadas, que forman parte de varias redes de bots, que intentan ampliar su base encontrando otras máquinas para infectar. Su estrategia es principalmente aleatoria: intentan una dirección IP aleatoria para un servidor SSH abierto, y luego intentan contraseñas comunes para nombres de cuentas comunes. Es poco lo que puede hacer para aumentar (o, en realidad, disminuir) la cantidad de conexiones de este tipo que recibirá por día. Algunos proveedores de la red intentan detectar estos eventos y bloquearlos o limitar su tasa, por lo que puede hablar con su proveedor y ver si tiene dichos sistemas en funcionamiento.

Los atacantes dirigidos son seres humanos que desean descifrar su máquina, específicamente. Para obtener ese tipo de atacante, necesitas proporcionar algún tipo de motivación. Podría intentar presumir de algunos "bienes" deseables almacenados en su servidor (por ejemplo, toneladas de copias pirateadas de juegos, música o películas), por lo que vale la pena secuestrar su máquina. Puedes intentar alojar un blog de orientación política con posiciones altamente controvertidas. A veces, la jactancia por sí misma atraerá a los atacantes: a todo el mundo le encanta callar un insoportable saberlo todo, y piratear su servidor parece una forma eficiente de lograrlo. En pocas palabras: crea algunos enemigos .

Tenga en cuenta, sin embargo, que las contraseñas de fuerza bruta son el grado más bajo de ataques. Si algunos de tus enemigos recién adquiridos son un poco competentes, intentarán otros tipos de ataques, como explotar vulnerabilidades en tu software. Además, algunos de ellos podrían pensar "fuera de la caja" y no apuntar a su servidor, sino a usted directamente; por ejemplo, si buscan el nombre de un dominio que posee, podrían obtener su dirección o número de teléfono y hacer una visita en persona. Como regla general, aconsejo no hacer enemigos . No hay tal cosa como "libre de consecuencias"; sólo hay "consecuencias improbables".

Si es para investigación , entonces podrías intentar acercarte a los administradores de sistemas de algunos sitios o infraestructuras importantes. Este es su proyecto senior: por lo tanto, hay un apoyo académico potencial. Con la ayuda de su profesor o asesor, puede intentar ver si un ISP o un gran servicio de alojamiento estaría de acuerdo con la recopilación de datos en su sistema; Incluso podrían encontrar algún beneficio fiscal al colaborar con un proyecto científico. Alternativamente, la mayoría de los administradores de sistemas son adictos a Guinness y pueden estar de acuerdo en ayudar a un co-bebedor, especialmente después de la tercera pinta (su perfil indica que tiene 17 años y vive en los EE. UU., Por lo que esta solución no puede ser oficialmente viable). / p>     

Su problema es la colocación de un honeypot .

Tenga en cuenta que los atacantes escanearán Internet para buscar el puerto 22 abierto, pero no escanearán todo el espacio de IP de principio a fin. Los servidores se concentran en ciertas partes del espacio IP. Y de manera similar, los suscriptores de Internet simples están ubicados en otras partes de ese espacio. Así que tienes que usar las direcciones IP en los lugares correctos para tu honeypot.

El problema consiste en encontrar esos bloques de IP que alojan muchos servidores para mejorar sus posibilidades. Para eso puedo pensar en un par de maneras:

• Compre VPSes de los proveedores más grandes porque los que se escanearán más.
• Comprando MÁS VPS baratos de diferentes proveedores.
• Obtener la ayuda de otros proyectos de honeypot. Tal vez el Project Honeypot o Honeynet project puede ayudar .

Asegúrese de elegir un proveedor que no detecte y bloquee dichos ataques de fuerza bruta.

Creo que tienes la respuesta correcta en los foros de piratería, los que están más interesados en el proceso que en ganar. $ 15 no va a interesar a un hacker con fines de lucro, y (con suerte) no hay información que valga la pena robar. Dígales que ha creado un SSHD que es muy difícil de romper, felicitaciones a cualquiera que pueda hacerlo. Puede obtener interés.

Alternativamente, puedes obtener los tipos de ganancia si lo puedes hacer creer que hay algo en ellos que vale la pena tener, lo que requeriría inventar algún tipo de historia. Podría publicar en algún foro de piratas informáticos que irrumpió en estos servidores que tenían cosas realmente interesantes (listas de tarjetas de crédito, planes para algún tipo de reactor nuclear nuevo, etc.), pero remendaron el agujero para que perdiera su acceso. tiene una forma de entrar? Mira qué pasa.

Creo que una gran variedad de hosts será la clave para ti. Acabo de verificar los pocos hosts que ejecuto que tienen el puerto 22 abierto al mundo y todos vieron en el rango de miles de intentos por día. No he visto más de 15,000 en un día. Eso parece bastante normal.

Revisé tres hosts en tres proveedores de hosting diferentes: AWS EC2, OVH y iomart. Todos en diferentes países, pero todos centrados en Europa.

Veo estrategias claramente diferentes de diferentes bots. A veces, una sola IP realizará miles de intentos en el usuario root y nunca en ningún otro usuario. Otros bots realizarán entre 5 y 10 intentos de usuarios comunes, como ftp y postgres , y un intento por cada uno de los nombres de usuario menos comunes, como test1 , test2 , test3 , test4 .

La mayoría de los bots que veo siempre tienen el puerto de origen por encima de 30,000, pero hay al menos un bot que siempre elige un puerto de origen de cuatro dígitos y, asumiendo que está atacando a otros hosts simultáneamente, cada nuevo intento incrementa el puerto de origen en uno hasta que se ajusta a alrededor de 1000 después de alcanzar el 9999. En realidad, ahora que lo veo más de cerca, el bot de 5 dígitos de puerto de origen se ajusta a 61,000 hasta llegar a 33,000. Esto debería proporcionarte una buena manera de estimar cuántos otros intentos está realizando un bot en otros hosts en paralelo a los que ves.

No sé si habrá una diferencia en cuántos y qué tipo de ataques hay entre proveedores o países, pero ese sería un aspecto interesante para agregar a su investigación. No me sorprendería si los anfitriones estadounidenses fueran más atacados.

Puede que valga la pena, ya que no solo se centra en el puerto 22. Recuerdo que hace años ejecuté una caja que tenía ssh en el puerto 10000. Vimos miles de intentos de inicio de sesión de Webmin en nuestro puerto ssh. Me sorprendió la cantidad de intentos que hubo en lo que consideré un puerto mucho menos común para estar abierto. Ahora me doy cuenta de que los Sysadmins que usan Webmin también tienen muchas más probabilidades de tener una contraseña predeterminada o fácil y de no darse cuenta de que su caja está bajo el control de otra persona, por lo que la proporción de éxito puede haber sido mucho mayor en ese tipo de puerto. Puede obtener una gran cantidad de intentos de inicio de sesión en los puertos 21 y 23. También es posible que los puertos 110 (POP), 143 (IMAP) y 3389 (RDP).

Las instancias de Amazon EC2 pueden ser un muy buen plan. Puede obtener Micro Instances en el nivel gratuito y obtener 750 horas de instancia al mes gratis, que se pueden gastar como una sola instancia que se activa todo el mes o 30 instancias que se ejecutan durante un solo día cada mes. 30 instancias deberían obtener 30 veces más intentos por día, pero aproximadamente el mismo número por mes. Colocar sus instancias en diferentes regiones debería proporcionarle diferentes redes IP y, con suerte, diferentes tipos de tráfico de ataque.