Есть ли ловушка для ssh в linux?

Question

[Сергей Карбивничий]

Здравствуйте. Недавно купил VPS. В течении пару дней 2 раза блокировали мою ВМ по причине "колоссальная нагрузка". Позже, изучив логи на сервере, узнал что ВМ взломали через ssh(пароли были простые). Теперь смотрю, что каждую минуту ко мне стучатся несколько десятков ip через ssh(наверное бот-сеть). Есть fake ssh, что бы я указал простой логин и пароль, и ко мне подключились. Разумеется не по настоящему ssh, а по фейковому, что бы можно было посмотреть что за команды мне передают.

Comments

[Lynn «Кофеман»]

Проще перекинуть ssh на другой порт, а 22 закрыть. Ну и пароли заменить на ключи

[Сергей Карбивничий]

Алексей Тен, Для безопасности, да. Но мне наоборот нужно что-бы ко мне подключились, а я мог смотреть какие команды выполняются не сервере( разумеется, что-бы команды не выполнялись, а лишь записывались в лог файл).

[sim3x]

что бы можно было посмотреть что за команды мне передают.

зачем вам смотреть на комманды бота?

[alex1478]

2 раза блокировали мою ВМ по причине "колоссальная нагрузка".

Может вам и хостинг заодно сменить? Нормальные провайдеры такой ерундуй не занимаются.

[Сергей Карбивничий]

alex1478, Нет, я там сам был виноват. Установил простой пароль, и методом перебора подобрали эти гады пароль к моей ВМ. Потом слали спам(ip моей ВМ добавили в спам-базы).

[Сергей Карбивничий]

sim3x, Ради интереса. Есть же сайты, которые специально настраивают так, что-бы этот сайт взломали. Потом админы сайта смотрят, что на нем происходит. Как-то так. Видел в интернете(возможно на хабре) статью об этом.

[sim3x]

Сергей Карбивничий, Вы же понимаете, что ваш уровень, как настройщика хонейпота должен быть сильно выше взломщика в таком случае?

[Сергей Карбивничий]

sim3x, Конечно понимаю. Сейчас ищу всю возможную информацию по этой теме.
PS: Honeypot - это похоже то, что нужно. Спасибо!

[Александр]

Сергей Карбивничий, а насколько был простой пароль? 11111? или Fja_451mv@5kA3? А то может мне тоже надо пароль усложнить?

[Сергей Карбивничий]

Александр,Пользователь - root, пароль - toor

Answer 1

[ValdikSS]

https://github.com/cowrie/cowrie
https://github.com/desaster/kippo

Comments

[Zettabyte]

Подскажите пожалуйста: пробовали ли вы пользоваться какой-либо из этих ловушек?

Если да, то сколько памяти они в среднем потребляют?
Спрашиваю в плане того, имеет ли смысл ставить на low-end VPS: есть 384 МБ и 1 ГБ RAM.

Для первого, к примеру, fail2ban уже слишком тяжёл.

[ValdikSS]

Zettabyte, Не пользовался. В качестве альтернативы fail2ban попробуйте sshguard, он написан на C и гораздо легковесней.

Answer 2

[Wexter]

fail2ban не?

Comments

[Сергей Карбивничий]

Установлен, но я хочу посмотреть, какие команды будут выполнятся при успешной авторизации(на самом деле что-бы команды не выполнялись, а лишь записывались в лог).

[Everything_is_not_so_bad]

Сергей Карбивничий,

я хочу посмотреть, какие команды будут выполнятся при успешной авторизации

по-моему, это пустая трата времени. Какой смысл в анализе команд ботов?

Answer 3

[Рональд Макдональд]

Создайте пользователя без прав и с chroot в /tmp с лимитом в 1 Мб и логированием всех введённых команд.

Comments

[Сергей Карбивничий]

Спасибо, интересное решение.

Answer 4

[Everything_is_not_so_bad]

Endlessh

Представлен проект Endlessh, в рамках которого подготовлен простой фиктивный SSH-сервер, который пытается максимально долго удерживать установленные соединения открытыми на начальной стадии подключения к SSH-серверу. Endlessh может использоваться для затруднения работы различных вредоносных систем, постоянно перебирающих пароли и сканирующих хосты на наличие определённых сетевых сервисов.

Comments

[Zettabyte]

А вы пробовали пользоваться этой ловушкой?

Если да, то сколько памяти она в среднем потребляет?
Спрашиваю в плане того, имеет ли смысл ставить на low-end VPS: есть 384 МБ и 1 ГБ RAM.

Для первого, к примеру, fail2ban уже слишком тяжёл.

[Everything_is_not_so_bad]

Zettabyte, нет, сам не пробовал. Смотри ответ Александр Горбунов за подробностями. Там есть некоторые детали реализации.

[astronaut808]

недавно была статья на хабре

Answer 5

[Blaine_Mono]

Настройте вход по ключу и отключите авторизацию по паролю.

Answer 6

[Александр Горбунов]

Ловушка (тарпит)
https://m.habr.com/ru/company/globalsign/blog/445318/

Comments

[Сергей Карбивничий]

Читал вчера эту статью. Но это немного не то. Мне нужно писать в лог команды, присылаемые ботами.

[Денис]

Сергей Карбивничий, да нету там комманд. То есть курлом выкачивает бинарник с фтп и запускает его. Всё.
А тот в свю очередь создаёт автозапуск других бинарей и те уже выкачивают списки кого брутить.

Если заняться больше нечем то можешь тратить время. (Выкачивается всё с китайских адресов)

[Сергей Карбивничий]

Денис, Спасибо за ответ, именно это меня и интересовало.

Answer 7

[Дмитрий Шицков]

Используйте fail2ban для ограничения активности ботов. Нестандартный порт так же значительно снижает вероятность стать целью.

Если хотите поиграться, попробуйте настроить lshell

Comments

[Сергей Карбивничий]

Установлен, но я хочу посмотреть, какие команды будут выполнятся при успешной авторизации(на самом деле что-бы команды не выполнялись, а лишь записывались в лог).

[Дмитрий Шицков]

Сергей Карбивничий, https://www.systutorials.com/docs/linux/man/1-lshell/