Legales mitschneiden von Passwörtern.

SierraX

Well-Known Member
Hi
wie ich an anderer Stelle schon erwähnt habe, wird einer meiner Server massive auf Port 22 belästigt...:
mein gedanke ist jetzt: Ich verlege den sshd Port auf irgend was anderes, lausche aber mit Perl oder Python weiter auf dem Port und gaukle den scannern vor, das es sich immer noch um ssh handelt, und speichere zeitstempel, username mit dem er an kommt, passwort und ip in einem logfile ab, das ich dann auswerten kann.
Hat hier jemand mit dieser Idee schon Erfahrung (bin sicher nicht der erste der auf so ne idee kommt) oder kennt sogar schon ne fertige Lösung dafür?
Thx
Kind regards
 
Die Frage ist: Was willst du damit bezwecken? Das sind im allgemeinen gescriptete automatische "Angriffe" die einfach ihre Listen durcharbeiten. Das ist nun nix womit mal viel anfangen könnte.
 
Es gibt auch fertige Honeypots wie z.B. Kippo: https://github.com/desaster/kippo Da lässt man dann den Login zu und kann sich anschauen, was die Kiddies so treiben. Sowas sollte man aber natürlich tunlichst in eine VM sperren, die man hinterher entsorgt.
 
@Rakor man kann schon aus der anordnung eines Wörterbuches herleiten, was sich die Scanner dabei denkenen, oder auch ob sie nicht denken. Bei den vereinzelten Angriffen auf den user Pi ist mir schon klar, das da >99% "raspberry" dran stehen wird und nur ein versuch. Aber bei den 8500 angriffen auf root über geschlagene 11 Stunden von nur einer IP hätte mich doch das verwendete Wörterbuch interessiert.
@Yamagi hatte ich mir auch schon überlegt... ggf mit docker bin mir bloss nicht sicher ob es das abdekt, was ich mir vorstelle
 
...Das sind im allgemeinen gescriptete automatische "Angriffe" die einfach ihre Listen durcharbeiten. Das ist nun nix womit mal viel anfangen könnte.
Als Beispiel um es noch ein wenig zu verdeutlichen was es IMHO bringt, bzw bringen könnte: Ein Hoster bietet dedicated Server an... so wie die welche ich gemietet habe: Man mietet, gibt an welches OS man drauf haben will, und kriegt eine minimal Installation, eine statische IP und das root Passwort das irgendwie generiert wurde meist irgendwo auf seiner Kunden support Seite hinterlegt.
Wenn jetzt bei mir als Kunde mein(e) Server andauernd gescannt wird ob man sich als root mit einem Passwort einloggen kann, könnte man anhand der Passwörter erkennen ob einfach nur die häufigsten Passwörter:
password
123456
qwerty
qwertz
etc
runter gerattert werden, oder ob es z.B. Passwörtern ähnlich sieht oder sogar aktive Passwörter sind, die der Hoster, ich selbst oder gar ein Kunden von mir einsetzt.
 
Den Aufwand würde ich mir gar nicht machen. Entsprechende Passwort-Listen mit >1 Million Passwörtern gibt es zu Hauf im Internet. Da muss man nicht großartig den Kram noch mal extra mitschneiden.

Wenn in den Passwortlisten ein Passwort von dir auftauchen sollte, dann war es eindeutig zu kurz. Je nach Hashing-Type ist ein 8-Stellen Passwort auf einer GPU in ein paar Stunden geknackt, wenn es mal irgendwo in einer Datenbank war (Dropbox, Yahoo, ...).

Also wenn du nicht "Key-Only" fahren kannst, dann verlange zumindest Passwörter mit 16 oder mehr Stellen.
 
Zurück
Oben