SSH Servisi icin tuzak sistem kurulumu

kojoney.png

Guvenligini ustlendigim internete acik sistemlerin son 6 aylik durumunu dusundugumde gelen saldirilarda basi web uygulama acikliklari cekiyor, bunun hemen ardinda ise SSH sunuculara yapilan giris deneyimleri geliyor. SSH sunucularin guvenli yapilandirilmasi cok daha kolay olmasina ragmen hic azimsanmayacak bir oranda basarili giris/sizis yapildigini duyuyorum(kendi sistemlerimde degil:)). SSH servisi disariya acik bir sistem icin en ideal giris kapisi, kapinin uretildigi ham madde ne kadar saglam olursa olsun yeterli onlem alinmayinca birileri bir sekilde giris yolu bulabiliyor demek ki.

Vakti zamaninda SSH sunucuma kimler hangi iplerden geliyor, hangi kullanici adlari ve parolalari deniyor diye merak ederdim. Bunlar icin ssh loglarini ayri bir dosyaya yonlendirerek loglar uzerinde basit unix araclari ile raporlama alabiliyordum fakat loglarda parola bilgileri gozukmuyordu. Bunu da OpenSSH’a bir yama gecerek halletmistim(Yillar sonra bu yama ile baska bir sunucu da daha karsilastim ve parola secimimde radikal degisiklikler yaptim:). Sonralari bu merakim dindi zira loglar incelenemeyecek kadar buyumeye baslamisti.

Hafta sonu uzuun zamandir yapamadigim bir is yapip birikmis e-postalari okudum, bir suru notlar cikardim ve bloga aktarmaya basladim. Notlardan biri de benzeri bir araci daha saglikli bir sekilde yapan bir proje idi. Projenin adi Kojoney. SSH sunucuya gelen isteklerden kimin, hangi ip, ulke uzerinden ne tip bir arac ile(otomatize bir arac mi yoksa insan mi) deneme yaptigi konusunda bilgi edinmek, basarili(!) saldirganlarin sistem uzerinde calistirdigi komutlarin ne oldugunu ogrenemek icin yapilmis bir calisma. Python+Twisted kullanildigi icin eklentiler yapmak oldukca kolay olacaktir.

Detaylar icin: http://kojoney.sourceforge.net/

This entry was posted in Honeypot, Log Monitoring, Misc. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

twelve − seven =