Simovits

En ensam exponerad server en månad senare

I den här bloggen kommer vi att titta vad som händer under en månad på ett system som är ansluten till internet utan att skyddas av t.ex. en brandvägg. För att göra detta har jag satt upp en HoneyPot. Jag valde t-pot som är en färdigkonfigurerade honeypot (https://github.com/dtag-dev-sec/tpotce). Den är uppbyggd på en dockermiljö och innehåller ett stort antal olika honeypots för att täcka in de olika attackerna som kan genomföras mot en server av detta slag.

För att kunna analysera den inkommande trafiken mot de olika delarna så innehåller även distributionen en ELK-stack för att indexera och visualisera loggar från de olika delarna.

Installation av tpot görs exempelvis enkelt med en ISO från deras github. För att administrera distributionen använder de sig av Cockpit. Går även att köra SSH utifrån gentemot uppsättningen

Jag har kört en installation på en server helt fritt exponerad mot internet med en vanligt förekommande ISP i Sverige såsom t.ex. ComHem, Telia, Bahnhof, etc.

Under april månad ser vi 9 686 208 anslutningsförsök från totalt 28666 antal unika IP-adresser. Var ifrån attackerna sker visualiseras nedan:

De 20 portar som ser mest antal anslutningar är följande:

Här tar VNC (5900) tar hem förstaplatsen på flest antal anslutningar, följt av telnet (23) och sedan MQQT Message Queue Telemetry Transport (1883). Ett protokoll som används för IoT.

Väljer vi att sortera listan utifrån unika IP-adresser så får vi ett annat resultat enligt nedan

Då vinner SMB (445) följt av SSH (22) och en tredje plats Telnet (23).

Tar vi ut statistik för de mest använda användarnamnen som angriparna testat så kommer följande på topp 10.

Topp 10 för lösenord:

Jag har även sammanställt två listor över de 1000 mest använda användarnamnen och lösenorden.

Summering

Om en server som i detta fall ansluts till internet, kommer ett stort antal försök göras för att ta sig in. De flesta görs automatiskt av skanningsbotar för att automatiskt utnyttja sårbarheter som kan finnas på systemet. Detta görs för ett antal olika syften, t.ex. för att bryta Bitcoins, utnyttja systemet för ytterligare attacker, distribuera skadlig kod, etc.

Så vad kan vi konstatera av det här testet.