我偶然发现了这个sshesame软件,它似乎模仿了一个接受任何用户名/密码的 SSH 服务器,只是不执行后续的 shell 命令,而是将它们记录在一个文件中。
我无法弄清楚这个工具可能有什么用途(除了教育)。因此,它只会因为成功的 SSH 登录尝试而引起服务器不必要的注意,并且它不会保护任何其他端口免受攻击(包括真正的 SSH),因此它只会使情况变得更糟。
我忽略了什么吗?
假的 SSH 服务器是否有任何安全目的?
信息安全
SSH
网络扫描仪
2021-08-15 16:22:35
3个回答
拥有这种假 SSH 服务器的原因是多方面的。它们包括:
- 确定您是否受到攻击
- 知道猜测的用户和密码(可以显示攻击者拥有的情报)
- 查看攻击者感兴趣的行为
- 查看对服务器的利用尝试(可能会泄露 0days 或后门)
- 研究攻击者如何尝试接近系统等等。
- 测试客户端软件,包括开发期间的审计/测试/攻击工具(感谢Mołot)
如果服务器中有任何有价值的东西,你应该考虑不要在你的系统上放置一个假的 SSH 服务器,因为假的服务器也可能容易出现漏洞——一个封闭的端口比一个开放的服务好。
它可以用作蜜罐/研究来收集最常用的密码尝试等。
否则,我同意你的评估,这是一个有吸引力的麻烦。
如果您正在寻找实际的保护机制,我推荐“Fail2Ban”。
像这样一个开放的假 ssh 服务器的一个很好的用途是在公司 LAN 上将其设置为蜜罐。给它一个有吸引力的(但不是假的)主机名设置系统日志转发到您的 SIEM,看看是否有人连接到它以及他们尝试做什么。任何合法的人都不应该在里面闲逛(除非你有一个狩猎队或正在进行红队行动)。