Apa yang Terlihat Saat Menjalankan SSH Honeypot Selama 30 Hari

 (blog.sofiane.cc)
12 poin oleh GN⁺ 2024-06-17 | 3 komentar | Bagikan ke WhatsApp
  • Honeypot: mekanisme untuk mendeteksi dan mencatat serangan saat penyerang mencoba menyusup ke sistem
    • SSH honeypot: honeypot yang menargetkan SSH
  • Hasil menjalankan SSH Honeypot selama 30 hari
    • Selama 30 hari terdapat total 11.599 percobaan login, dengan rata-rata 386 percobaan login per hari
    • Nama pengguna yang paling sering digunakan adalah root, 345gs5662d34, admin, pi, dan lainnya. Selain itu ada ubuntu, ubnt, support, user, oracle, dan lain-lain
      • 345gs5662d34 kemungkinan adalah kredensial bawaan untuk telepon IP Polycom CX600.
    • Kata sandi yang paling sering digunakan adalah 345gs5662d34, 3245gs5662d34, admin, 123456, password, dan lainnya
  • Hasil analisis perintah yang dijalankan setelah login menemukan aktivitas mencurigakan berikut:
    • Perintah yang paling sering dijalankan
      • echo -e “\x6F\x6B”: 6.775 kali
      • cd ~; chattr -ia .ssh; lockr -ia .ssh: 1.016 kali
      • uname -s -v -n -r -m: 320 kali
    • Setelah menjalankan skrip oinasf, ada upaya mengumpulkan informasi sistem dengan perintah uname -s -m
    • Upaya menyerang router MikroTik melalui perintah ./ip cloud print
    • Memasang penambang kripto mdrfckr dan menghentikan proses penambang lain
    • Upaya menyebarkan malware arsitektur MIPS (terutama menargetkan router dan perangkat IoT)
    • Menjalankan skrip Sakura.sh, yang merupakan bagian dari malware Gafgyt (BASHLITE)
      • Gafgyt adalah botnet yang menginfeksi perangkat IoT dan sistem Linux, serta memiliki fungsi seperti serangan DDoS
      • Botnet ini mencoba mengambil alih perangkat dengan memanfaatkan kata sandi lemah atau bawaan, serta kerentanan yang sudah diketahui
      • Sudah ada sejak 2014 dan berkembang menjadi berbagai varian yang dapat melancarkan serangan DDoS

Opini GN⁺

  • Honeypot berguna untuk menganalisis pola serangan dan menyusun strategi pertahanan.
  • Ini menunjukkan bahwa menggunakan nama pengguna dan kata sandi bawaan sangat berbahaya.
  • Perangkat IoT dan router sangat rentan, sehingga pengaturan keamanannya perlu diperkuat.
  • Malware seperti penambang kripto memboroskan sumber daya sistem dan menimbulkan ancaman keamanan.
  • Pemantauan dan pembaruan berkelanjutan diperlukan untuk menghadapi ancaman keamanan baru.

Bacaan terkait

3 komentar

 
nullptr 2024-06-17

Karena 345gs5662d34 cukup tinggi, saya coba mencari tahu dan menemukan cerita bahwa itu berarti password pada keyboard tertentu ( https://isc.sans.edu/diary/Common+usernames+submitted+to+honeypots/… ), tapi saya juga tidak yakin sepenuhnya...
 
cosine20 2024-06-17

Agak terasa seperti votmdnjem (kata sandi), ya.
 
GN⁺ 2024-06-17
Komentar Hacker News

  • Hosting mandiri server email dan analisis log firewall: Menyiapkan skrip untuk memblokir trafik yang tidak normal, serta memblokir jaringan pemindai milik perusahaan keamanan internet sehingga trafik yang tidak perlu berkurang lebih dari 50%.

  • Masalah keamanan setelah mengaktifkan kembali login kata sandi: Setelah login kata sandi diaktifkan sementara, terjadi ribuan percobaan login, dan sebagian besar dipastikan berasal dari Tiongkok.

  • Visualisasi pemindai: Lokasi dan ASN pemindai divisualisasikan untuk memberikan pemahaman yang lebih baik. Penyedia VPS dengan prosedur verifikasi yang ketat membantu mengurangi aktivitas pemindai.

  • Pengaturan keamanan SSH: Untuk memperkuat keamanan server SSH, disarankan mengganti port, menonaktifkan autentikasi kata sandi, dan mengatur agar hanya pengguna tertentu yang diizinkan.

  • SSH yang hanya menggunakan autentikasi kunci publik: Jika hanya menggunakan autentikasi kunci publik, alat keamanan tambahan seperti fail2ban tidak terlalu membantu, dan disarankan menambahkan lapisan pertahanan lain seperti VPN.

  • Memblokir IP dari Tiongkok: Karena sebagian besar percobaan login SSH berasal dari Tiongkok, IP dari Tiongkok diblokir dan dibuka sementara bila diperlukan.

  • Pengalaman mengoperasikan server FTP anonim: Berbagi pengalaman mengoperasikan server FTP anonim pada awal 2000-an dan dapat dengan mudah memperoleh software crack terbaru.

  • Sisi positif hosting server sendiri: Segala sesuatu yang terekspos ke internet pasti akan dicoba disalahgunakan oleh seseorang, jadi penting untuk meningkatkan pemahaman tentang keamanan.

  • Perintah tidak dikenal lockr: Tidak ditemukan referensi untuk perintah lockr, dan perintah ini terutama teramati dijalankan oleh malware bersama perintah chattr.

  • Router MikroTik dan aktivitas penyerang: Dengan memanfaatkan fitur cloud DNS pada router MikroTik, penyerang memeriksa entri DNS dinamis router agar tetap bisa mengaksesnya meskipun alamat IP berubah.