Seltsamer Hack meines Pi-Honeypots

  • Ich hab seit einiger Zeit einen Pi als 'honeypot' laufen, also von meinem LAN abgekoppelt und Standard Image mit DMZ Freigaben am Internet.


    Lange Zeit passierte nicht, doch vor genau 4 Tagen hat sich jemand über den pi Benutzer angemeldet, die Passwörter vom Benutzer pi und root geändert...

    Außerdem legte er für den pi Benutzer ein ssh-key an und installierte mc sowie nginx.

    Über mc hat er dann mehrere Dateien für nginx hochgeladen, aber ansonsten nichts. Leider hat er ~/.bash_history , aber nur vom Benutzer pi, gelöscht.

    Was mir seltsam vor kommt sind zum einen die Befehle die er ausgeführt hat: er meldet sich als root an und gibt trotzdem passwd root ein.

    Zum anderen aber auch die Konfiguration des nginx Dienstes... Denn die nginx.conf lässt den Dienst als root laufen, setzt den Dienst nur als proxy für 3 verschiedene Domains ein die alle auf eine IP und Pfad zeigen welche aber nichts "anzeigt". :conf:


    Kann sich hier jemand nen Reim daraus machen wofür das gut sein soll? Würde gerne den Sinn verstehen.

  • Network AS44050 Petersburg Internet Network ltd.
    City Podgorica, Podgorica, Montenegro


    Interessant ... vielleicht kommt da noch was auf den Server und das waren nur die Vorbereitungen.

  • Ich würde auch auf die Vorbereitung eines Command & Controll Servers o.ä. tippen.

    Der Unterschied zwischen Genie und Wahnsinn definiert sich im Erfolg.

  • Na ja, selbst einem unbedarften Nutzer, den Du ja quasi simulierst, würde es wahrscheinlich auffallen, wenn sein Passwort auf einmal nicht mehr funktioniert. Daß ein solcher Nutzer den root-Account nicht direkt benutzt und daß ihm Dateien in unsichtbaren Verzeichnissen nicht auffallen, ist dagegen relativ wahrscheinlich. Das ist jetzt natürlich nur geraten, aber unter diesem Aspekt scheint mir das Vorgehen plausibel.

  • Bei dieser Art von Angriffen sitzen meistens irgendwelche Hilfskräfte vorm Computer, die einfach nach Schema F Befehle abarbeiten

    Der Unterschied zwischen Genie und Wahnsinn definiert sich im Erfolg.

  • , setzt den Dienst nur als proxy für 3 verschiedene Domains ein die alle auf eine IP und Pfad zeigen welche aber nichts "anzeigt". :conf:

    Ich denke das wird ein C&C Server, oder ein Relay zu einem C&C. Die Ende-IP wird nur kurfristig aktiviert, wenn die Bots, die Deinen "Honeypot" anrufen, einen Auftrag erhalten.


    Du kannst ja das Logging auf ON stellen, das wird eigentlich nicht mehr überprüft, wenn die engine-x einmal funktioniert.

    Dadurch könntest Du erkunden, wer hinter dem Hack steckt.


    Servus !

    RTFM = Read The Factory Manual, oder so

  • Command + Controll Server.

    An diesen verbinden sich die (meist schlafenden) Bots periodisch (genau getimed) und warten auf weitere Befehle und/oder Updates.


    Petersburg-Net und Montenegro deuten zwar auf Russenhacker hin, von dort aus werden aber auch weltweit Netzwerke betrieben, nicht nur von der Black Hat Comunity. Vllt. verbindet sich ein Bot aus einem Ministerium in den nächsten Tagen/Wochen ?


    Vor rd. 1 Jahr war die Anzahl der aktiven Bots in DE stolze 800.000



    Servus !

    RTFM = Read The Factory Manual, oder so

  • Die drei Domains sind auch aktiv registriert, nur noch nicht auf Deinen Honeypot durchgeschaltet.

    RTFM = Read The Factory Manual, oder so

  • Ein Bot hat z.B. den Auftrag zu einem bestimmten Zeitpunkt res2allenia.com zu kontaktieren und erhält dabei einen neuen Auftrag (und wenn es nur der nächste Zeitpunkt unter derselben Domain ist).


    Servus !

    RTFM = Read The Factory Manual, oder so

  • Lange lebe IPv4!


    Wie soll das eigentlich werden, wenn jeder eine statische IPv6 Adresse hat, die nicht jeden Tag erneuert wird? Wobei ich glaube, auf neuen Modems kann man angeben, dass auch IPv6 täglich neu vergeben wird.

  • Macht das wirklich einen Unterschied ? Ich habe einen IPv4 Anschluss. Meine IP habe ich aber bereits seid Monaten, weil der Router halt durchläuft. Selbst bei kurzzeitigen Trennen des Routers bekomme ich die selbe IP zugewiesen. Nur bei längeren Störungen bekomme ich eine neue.