ZHUJIMAO.COM 成员 @htop 最近分享了一个已设置的蜜罐的结果。
我发现这篇文章很有意思:这台机器几乎每秒都在遭受攻击。于是,我自己也写了一个,把它放在那台机器上,用来收集其他人的攻击行为。我还写了一个简单的网页来展示攻击结果,相当于一个简单的蜜罐应用。效果似乎非常显著。
“蜜罐”是一种伪装成合法服务器、应用程序或系统的陷阱,它实际上会迷惑潜在的攻击者。蜜罐有很多应用场景。例如,伪装成存在漏洞的服务器、应用程序、电子邮件帐户等,可以作为新攻击、漏洞或垃圾邮件的预警信号。
在这种情况下,@htop 修改了 sshd 二进制文件以捕获密码。通常情况下,sshd 不会记录登录失败的情况(小知识:Linux 0.1 左右的版本会在 syslog 中记录登录失败的用户及其尝试使用的密码!)。所有失败的尝试都会发布到这个网页上。
如果你运行过服务器,很可能在系统日志中看到过大量的登录失败记录。脚本小子会尝试成百上千甚至数百万个 IP 地址,看看是否有密码强度低的账户。应对这种情况的方法有很多:关闭密码验证是最佳方案,但你也可以使用 fail2ban 来限制攻击者的尝试次数,一旦失败就会封禁其 IP 地址。更改 SSH 端口并不能提高安全性,但通常是为了减少日志垃圾信息。
查看@htop收集的数据,我们发现一些常见的弱密码被尝试,例如“manager123”、“sysop”、“qwerty123!”、“00000000”等等。我还没看到有人尝试“monkey1”这样的密码,但我相信以后肯定会有的。
