s4q Jul 20 at 14:47

Honeypot и SSH-ключ mdrfckr: что это было?

2 min

4.3K

Development for Linux*Information Security*Network technologies*

Comments 5

Как-то не продуманно, если влез подбором пароля - это ещё не значит что хозяин туда не по ключу ходит, мог просто забыть закрыть. Снесут .ssh - сразу вспомнит, зайдет по паролю же и исправит.

А сам скрипт пароль не отключает..

s4q Jul 20 at 15:31

Видимо, упор ботоводы делали на массовость, а не на устойчивость доступа: такой скрипт проще и быстрее выполнить, чем сохранять все пароли, которые были получены подбором. Да и кто знает, может пароль поменяют?

aborouhin Jul 20 at 16:07

Так нет, речь про то, чтобы не затирать существующий authorized_keys, а дописывать свой ключик в конец. Просто убрав "rm -rf ~/.ssh", без всяких сложностей.

aborouhin Jul 20 at 16:06

Скорее всего, по изначальному замыслу создателя бота ключик и дописывался в конец authorized_keys (иначе зачем там ">>", а не ">", если мы только что всё потёрли). А потом очередной кулхацкер столкнулся с какой-нибудь нетипичной ситуацией (разрешения хитрые, опции ssh и т.п.) и решил её топорным добавлением "rm -rf ~/.ssh".

wwq_deezer Jul 21 at 14:59

Мониторить изменения в .ssh/authorized_keys

Надо просто заранее сделать authorized_keys неизменяемым, через chattr +i