利用hfish反控境外攻击源主机

helloworld_65514793
• 阅读 673

导师给了7个网络安全课题选题,本想和他聊了下思路,他一挥手让我先做出点东西再来聊就把我打发走了……

正好前段时间阿里云到校做推广,用优惠卷薅了一台云服务器,装了hfish先看下情况

没想到才装上没两天数据库就爆了,跑到客服群里问,换mysql+关扫描感知,一通操作性能好多了

稳定下来又观察了一个月,发现针对SSH的爆破攻击最多,发现有两个可以深入的点:

1)使用ssh云端高交互蜜罐可以抓到攻击者的操作,比如上传后门木马文件,下载之后还能放到沙箱看看具体的等级、威胁情况、C2地址等,是一种稳定的情报生产方式,用perl可以加到院里防火墙做提前拦截/阻断;

2)ssh低交互蜜罐会存储大量攻击爆破hfish的密码表,即可形成爆破字典,借此可反扫描攻击来源IP从而反控攻击来源主机!具体原因是,经过分析,蜜罐抓到的很多都是被自动化蠕虫感染的僵尸主机,这些主机之所以被感染是因为存在弱密码,正常主机被蠕虫感染后就会进行相同的恶意行为,所以同理可证,我们用同样的攻击工具和密码本反破解僵尸主机,有大概率能控制它们。

第一个点子让大飞哥帮我写了个脚本,他们公司也用这个蜜罐,第二个需要自己动手

密码表

先通过web界面导出收集的账号密码, 利用hfish反控境外攻击源主机 导出后有3万7条 利用hfish反控境外攻击源主机 一个有趣的地方,有小白黑客搞错了参数,将爆破的账号密码参数都搞反了,手动修正后去重剩34000

求大飞哥把他们公司装在云上的N个hfish蜜罐收集到的账号密码也导给我了,修正,然后再和34000的合并去重后有了一个九万条的密码表!

扫描地址

这里有点麻烦,先在linux上安装个jq程序,

yum install jq

hfish提供了一个api可以拿攻击来源ip,不过hfish吐出来的是一个大json,用jq程序,我们将其中ip地址取出来,

经过反复测试,执行如下命令最终可以得到一个ip一行的大txt文件,

curl -k -X POST "https://我的蜜罐地址:4433/api/v1/attack/ip?api_key=不告诉你" -d '{"start_time": 0,"end_time": 0,"intranet": 0}' | jq ".data .attack_ip"[] | sed s/"//g

利用hfish反控境外攻击源主机 最后是激动人心的时刻,我做了一个计划任务,每天从hfsih api接口取前一天的攻击来源地址。

用从github上下载的hydra加载9万个密码表暴力破解,运气好的话每天可以反向控制150台左右的境外ip,有时候运气不好只有40几台,为避免法律风险,这里就不贴图了。

经过抽样分析,大部分主机已经被蠕虫反复感染,

进一步执行netstat -ant 和查看ssh登录记录得到更多攻击来源地址,

再用perl做一个脚本生成csv文件,导入到nrd中生成关系图,不知道为什么nrd老崩溃,但数据已经到手了,可以找导师去了!

点赞
收藏
评论区
推荐文章
艾木酱 艾木酱
3年前
我们与MemFire Cloud的缘起2--MemFireDB
中大概阐述了一下我们之前碰到过的一些应用开发中的痛点:现有的云数据库起步使用成本较高应用开发对团队的起步要求较高现有云数据库配置复杂这些痛点当然不是我们先发现的,也不是我们先要尝试解决的。Google早在2014年就收购了firebase,或许是对这些痛点认可的最佳佐证。就在前两天,InfoQ上发布了一篇翻译文章:,这其实是作者的副标题,原标题是,文章
QW54787715 QW54787715
3年前
做运维的如何利用自己手里的资源增加收入,发财记得感谢我。
现在很多做技术开发的人都会找兼职给外面接点活赚点零花钱,目前这个市场还是狼多肉少,很难接到赚钱的单子。不妨多找一些方法,我这给大家介绍一个好渠道。如果在公司做运维工作有维护服务器资源的不管是阿里云腾讯云,只要你能登陆账号就可以公司采购完的订单是可以关联给代理商的,以阿里云为例,在控制台企业合作伙伴项目进去以后你能看到最近购买的订单,每一个订单后面都是有一
Stella981 Stella981
3年前
Eclipse下maven项目Tomcat部署调试
我一直喜欢使用NetBeans编写Maven的项目,但是单位同事很多还是更愿意使用Eclipse,我总觉得Eclipse下Maven没NetBeans好用,但是人家喜欢呀,只好帮忙做这方面的部署,不然就没法推广Maven了。还好现在最新的Eclipse4.3已经内置了Maven插件,这让我的工作简洁了不少,只要把项目直接导入就可以,不用考虑插件什么的问
Wesley13 Wesley13
3年前
ubuntu18.04里更新系统源和pip源
一、修改ubuntu系统源我的ubuntu系统是在清华的开源网站上下的,所以我还以为他应该就帮我弄好源了,可是没想到下载的还是非常慢,看到下载的时候网址前还有个us,就知道不是国内源了。所以这里我们来换系统源。(ps:我上次用的阿里云服务器好像倒是直接就是阿里的源了,速度还可以。)国内有很多Ubuntu的镜像源,包括阿里的
Wesley13 Wesley13
3年前
OSSIM让网络攻击无所遁形
OSSIM让网络攻击无所遁形如今网络安全事件的复杂程度不断攀升,从传统的病毒到蠕虫、木马的过程,这是一种网络威胁进化的过程,你再用传统的监控工具就OUT了。要想对抗攻击,首先需要发现攻击,通过抓包的常规做法比较滞后,而且也只能发现局部问题,已不满足我们对可视化网络安全运维的需要,你选择的多数软件都无法满足对网络攻击可视化的需求。若想更佳方便的发现
Stella981 Stella981
3年前
Serverless Kubernetes 入门:对 Kubernetes 做减法
作者|贤维 阿里巴巴高级技术专家导读:ServerlessKubernetes是阿里云容器服务团队对未来Kubernetes演进方向的一种探索,通过对Kubernetes做减法,降低运维管理负担,简化集群管理,让Kubernetes从复杂到简单。背景Kubernetes作为通用的容器编排系统,承载了广泛的
Wesley13 Wesley13
3年前
MySQL 8.0.23中复制架构从节点自动故障转移
接触MGR有一段时间了,MySQL8.0.23的到来,基于MySQLGroupReplicaion(MGR)的高可用架构又提供了新的架构思路。1.灾备机房的slave,如何更好的支持主机房的MGR?2.MGR到底可以坏几个节点?这次我就以上2个问题,和大家简单聊下MGR的一些思想和功能。
Wesley13 Wesley13
3年前
Ubuntu12.04下建立快捷方式到侧栏或桌面
前段时间刚开始学习linux下的开发,各种不适应,各种错误,各种崩溃……不过也算是熬过来了,现在会在命令行下干很多东西了,文件/文件夹基本操作,软件卸载安装,ROR的程序生成,GIT的操作,Heroku的操作,都可以了,但是vim实在用不习惯,为了赶进度,就装了rubymine,但是,每次进rubymine都要cd然后启动rubymine.sh才行,还是建立
Stella981 Stella981
3年前
Linux服务器可以进百度,但是进阿里云或者别的一些网站提示‘错误代码:NS_ERROR_NET_INADEQUATE_SECURITY’的问题
昨天遇到一个头疼的事情,在阿里云买了一台服务器;然后环境各种都装了,因为本人是小白,所以一般都装MATE界面;一开始环境没配好,访问百度可以进去,进万网但是进不去,先也没急着搞这个事情,第一天晚上下班很晚了,就先装了可视化界面不管了。第二天早上,还是打不开,很头疼。虽然不影响我装环境之类的,但是本人有纠结症,就是喜欢研究无厘头的东西。先给阿里
贾璜 贾璜
1年前
我们一起用三丰云免费虚拟主机搭建一个自己的网站
福音三丰云虚拟主机永久免费使用了https://www.sanfengyun.com网站先放这里我一直想有一个属于自己的网站,但是苦于是新手,又不想花钱去买服务器。主要是怕买了不会用,就浪费掉了。诸多的机缘巧合下我知道了三丰云。随后我发现了新大陆。竟然可以
helloworld_65514793
helloworld_65514793
Lv1
若是你一贫如洗我能不能是你的最后行李
文章
2
粉丝
2
获赞
2