¿Cuáles son los peligros de exponer cuentas de usuario débilmente protegidas vinculadas con un shell falso sobre ssh?

Navega tus respuestas
5

Como cualquier persona que ejecute un servidor puede darse cuenta de la experiencia de primera mano, hay robots que intentan atacar constantemente con los nombres de usuario más comunes en SSH.

Un amigo mío creó varias cuentas con estos nombres de usuario comunes (con la excepción de "root"), les dio contraseñas extremadamente débiles y las adjuntó a un shell falso. El shell falso no es funcional de ninguna manera: solo muestra algunas respuestas enlatadas que se asemejan a un sistema muy dañado, y registra los comandos ingresados por el usuario en un archivo.

Suponiendo que este shell falso no tiene ninguna vulnerabilidad de seguridad por sí mismo, ¿cuáles podrían ser los posibles peligros de tal configuración?

    
pregunta user2064000 12.03.2016 - 13:54
fuente

2 respuestas

4

La cáscara es probablemente la menor de tus preocupaciones. El servidor SSH es una gran pieza de software con muchas características proporcionadas a cualquiera que pueda iniciar sesión. Tal vez uno de los peligros más ingenuos sería que el reenvío de puertos todavía esté habilitado, lo que permite al atacante a través de su firewall.

Además, una vez que alguien inicia sesión se presenta una mayor superficie de ataque en el servidor SSH, lo que les permite explotar fallas de seguridad menos graves que normalmente solo están disponibles para usuarios relativamente confiables.

Manejar una olla de miel puede ser muy peligroso ... tiene que ser una máquina aislada. Incluso una máquina aislada podría usarse para actividades ilegales.

    
respondido por el trognanders 24.10.2016 - 22:19
fuente
3
  

este shell falso no tiene ninguna vulnerabilidad de seguridad por sí mismo

... suele ser el supuesto erróneo. Jugué con esta idea hace algún tiempo, pero no encontré ninguna razón para hacer tal cosa.

Podría ser interesante como una investigación del comportamiento de los piratas informáticos / robots, pero para eso ya tiene soluciones existentes, eso debería ser más apropiado y probablemente más seguro y proporcionarle más datos. Además, si desea jugar con honeypot y observar piratas informáticos, hay algunas suposiciones que no cumple:

  • root es el objetivo más común. Atacar a diferentes usuarios le da a los atacantes menos posibilidades de explotar. Si abandona esta cuenta (ya sea asegurándola bien o deshabilitando el inicio de sesión) perderá una gran cantidad de datos posibles.
  • Incluso las contraseñas simples pueden ser difíciles de adivinar en combinación con nombres de usuarios comunes. Si su caso de uso está arriba (viendo hackers / bots), es posible que obtenga muy pocos datos de dicha configuración ya que la mayoría de los análisis fallan.

Y algunos bits a tu pregunta:

  • sus cuentas pueden estar expuestas a diferentes servicios, donde pueden ser mal utilizadas, por ejemplo, SMTP para enviar SPAM a través de su servidor
  • la seguridad del shell como se menciona en el inicio una vez más y accede desde cualquier recurso (archivos, red, llamadas al sistema, ...)
respondido por el Jakuje 12.03.2016 - 16:22
fuente

Lea otras preguntas en las etiquetas

¿Qué tipo de información se expone durante una sesión de navegación privada de Firefox? Protección de fuerza bruta de dos factores