13 nov 2012

Análisis de ataques recibidos Honeypot

Llevo ya bastante tiempo publicando las estadísticas de los ataques que estoy recibiendo en los Honeypots que he montado, Dionaea, Kippo, el de RDP. Tenía la costumbre cada semana de ir revisando que iba recibiendo pero al final, paso un poco del tema y dejo que el LOG vaya creciendo para mirarlo mas tarde. :P .

Este POST es un poco resumen y prometo que la segunda parte será muuuuucho mejor jejeje.

Primero vamos a la parte de Kippo, he registrado esta cantidad de IP’s intentando acceder al SSH:

marc@marc:~/nmap$ wc -l listado_ip.txt417 listado_ip.txt

Un total de 417 IP’s para flipar ;) He subido las Ip’s actualizadas al Github ;) . Pronto habrá mas información sobre ellas.

La cantidad de usuarios y passwords:

seifreed@darkmac:~/Desktop:wc -l /Users/seifreed/Documents/DEV/parser-kippo/user.txt1901 /Users/seifreed/Documents/DEV/parser-kippo/user.txtseifreed@darkmac:~/Desktop:wc -l /Users/seifreed/Documents/DEV/parser-kippo/pass.txt6369 /Users/seifreed/Documents/DEV/parser-kippo/pass.txt

Estos usuarios y passwords que han sido obtenidos mediante ataques automatizados por parte de Botnets o ataques de fuerza bruta me sirve para generarme un diccionario ;) Si a ellos les sirve, a mi también.

En el caso del RDP, me conformo, de momento con extraer las IP’s que intentan acceder ya que no es un RDP real y nunca podrán hacer LOGIN en él.

La cantidad de IP’s que han intentado acceder hasta ahora es brutal:

marc@marc:~/honeypot/terminal_server$ cat terminal_server.txt | awk ‘/192/ { print $1 }’ | grep -v 192 | grep -v 0x | grep -v marc | sort -u | wc -l1131

También hay sorpresa de esas IP’s pero por ahora no puedo revelar nada mas :P .

En el caso de Dionaea me he quedado bastante sorprendido porque siguen apareciendo muchísimos resultados, he conseguido obtener muchísima cantidad de binarios distintos.

Dionaea también es capaz de capturar los intentos de inicio de sesión al MYSQL:

La cantidad de accesos al MYSQL ha sido hasta ahora de 6536 accesos.

El sistema de HoneyPot sigue funcionando perfectamente y va registrando los ataques recibidos.

3 comentarios:

  1. [...] Llevo ya bastante tiempo publicando las estadísticas de los ataques que estoy recibiendo en los Honeypots que he montado, Dionaea, Kippo, el de RDP.  [...]

    ResponderEliminar
  2. una pregunta, te has limitado a ponerlo en internet?... o lo has "publicitado" para que haya tanto ataque?

    ResponderEliminar
  3. [...] El martes Marc nos hizo un gran Análisis de ataques recibidos Honeypot [...]

    ResponderEliminar