LINUX.ORG.RU
ФорумTalks

[спам][ssh] небольшой тестик

 ,


0

0

Тут ко мне на роутер постоянно долбится один китайский товарищ, имя пользователя, тем более пароль, он конечно подберёт нескоро, но мне вдруг стало интересно что они будут делать если всё таки подберут логин и пароль. Ради эксперимента планирую:

1. Поднять на вирутал боксе систему под с рандомной ОСю (Linux, BSD, etc)
2. Поднять там sshd с логином который чаще всего встречается в логах auth.log и паролем 1
3. Пробросить до этой машины отдельный VLAN (или туннель)
4. Поднять портфорвадинг на 22 порт внешнего интерфейса на эту машинку
5. Наблюдать...
6. ????
7. ПРОФИТ

если ли смысл делать это? Или проще не парится и заблочить китайцев по маске?


Ну, наверное, попробует заразить и начать подбирать с него пароли к другим роутерам.

anonymfus ★★★★
()
Ответ на: комментарий от kot_otbelivatel

У меня и так стоит ауторизация по ключу. Меня просто забавит такая активность. Интересно же что они будут делать после того как получат контроль над машинкой.

sig_11
() автор топика
Ответ на: комментарий от anonymfus

Так кстате можно попытатся отследить владельца ботнета. Зараверсинженирить код трояна, попробывать.

sig_11
() автор топика
Ответ на: комментарий от sig_11

сканер портов+подбор паролей, прокси, рассылка спама, файловый сервер. или ничего не будет делать - потом инфу с логином и паролем кому-нибудь попытаются впарить. объявлений "продам дедик" никогда не видел?

ну и да, man honeynet уже.

volh ★★
()
Ответ на: комментарий от volh

Да нет, меня просто забавят их попытки залогинится под postgres, nagios или zabbix.

sig_11
() автор топика

повесь ssh на нестандартный порт...

afunix
()

Обязательно! И нам потом расскажи.

AITap ★★★★★
()

уже много лет хочк henypot сделать, да всё руки не доходят...

true_admin ★★★★★
()
Ответ на: комментарий от sig_11

> Так кстате можно попытатся отследить владельца ботнета. Зараверсинженирить код трояна, попробывать.

Ну, увидишь ты перлового или php'шного трояна, который ходит на irc канал получать команды и рассылаемого спама. И где тут владелец? Разве что самому в этот канал мусора напихать, но там, наверняка, боты как-то отличают реального хозяина.

А реверсить его не получиться. Там исходник перловый или php'шный...

Liosha_Syrnikov
()

Давай. И потом поделись результатами. Думаю всем будет интересно.

urxvt ★★★★★
()
Ответ на: комментарий от Liosha_Syrnikov

>Разве что самому в этот канал мусора напихать, но там, наверняка, боты как-то отличают реального хозяина.

так если отличают, значит код за это отвечающий есть в самом троянце, значит можно узнать что нужно делать, чтоб тебя отличили? profit?

chicane
()

> если ли смысл делать это? Или проще не парится и заблочить китайцев по маске?

Можно ещё mirror поставить - пусть себя ломает

prorok2k
()

Там автоматический бот скорее всего, который на автомате тебя заразит и на автомате начнёт ломать с твоей машины остальных. Мб, если на автомате не получится заразить, то придут человеческие товарищи помочь роботу.

Legioner ★★★★★
()

эти граждане достали всех, у кого машина 24/7 торчит в инет, ничего нового и удивительного.

ты еще ип столы настрой и логи почитай, ага.

Rastafarra ★★★★
()

Найдет у тебя апач, поставит фишинговый сайт и будет собирать инфу по чужим кредиткам.

shimon ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Talks