s4q 20 июл в 14:47

Honeypot и SSH-ключ mdrfckr: что это было?

2 мин

4.4K

Linux*Информационная безопасность*Сетевые технологии*

Комментарии 5

Как-то не продуманно, если влез подбором пароля - это ещё не значит что хозяин туда не по ключу ходит, мог просто забыть закрыть. Снесут .ssh - сразу вспомнит, зайдет по паролю же и исправит.

А сам скрипт пароль не отключает..

s4q 20 июл в 15:31

Видимо, упор ботоводы делали на массовость, а не на устойчивость доступа: такой скрипт проще и быстрее выполнить, чем сохранять все пароли, которые были получены подбором. Да и кто знает, может пароль поменяют?

aborouhin 20 июл в 16:07

Так нет, речь про то, чтобы не затирать существующий authorized_keys, а дописывать свой ключик в конец. Просто убрав "rm -rf ~/.ssh", без всяких сложностей.

aborouhin 20 июл в 16:06

Скорее всего, по изначальному замыслу создателя бота ключик и дописывался в конец authorized_keys (иначе зачем там ">>", а не ">", если мы только что всё потёрли). А потом очередной кулхацкер столкнулся с какой-нибудь нетипичной ситуацией (разрешения хитрые, опции ssh и т.п.) и решил её топорным добавлением "rm -rf ~/.ssh".

wwq_deezer 21 июл в 14:59

Мониторить изменения в .ssh/authorized_keys

Надо просто заранее сделать authorized_keys неизменяемым, через chattr +i

Зарегистрируйтесь на Хабре, чтобы оставить комментарий