# SSH Honeypot을 30일 동안 운영하면 보게 되는 것

> Clean Markdown view of GeekNews topic #15378. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=15378](https://news.hada.io/topic?id=15378)
- GeekNews Markdown: [https://news.hada.io/topic/15378.md](https://news.hada.io/topic/15378.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2024-06-17T09:45:55+09:00
- Updated: 2024-06-17T09:45:55+09:00
- Original source: [blog.sofiane.cc](https://blog.sofiane.cc/ssh_honeypot/)
- Points: 12
- Comments: 3

## Summary

SSH 허니팟(공격자가 시스템에 침입하려 할 때 공격을 감지하고 기록하는 장치)을 30일 동안 운영한 결과, 하루 평균 386번의 로그인 시도가 있었고, 주로 root와 admin 같은 기본 사용자명과 비밀번호가 사용되었습니다. 공격 패턴을 분석해서 방어전략을 세우는데 유용한 시도. 암호화폐 채굴기 설치하는 공격자는 다른 암호화폐 채굴기를 종료시킨다는게 재미나네요. 나만 쓸꺼야?

## Topic Body

- 허니팟: 공격자가 시스템에 침입하려 할 때 공격을 감지하고 기록하는 장치  
  - SSH 허니팟: SSH를 대상으로 하는 허니팟  
- 30일간 SSH Honeypot을 운영한 결과  
  - 30일간 총 11,599번의 로그인 시도가 있었으며, 하루 평균 386번의 로그인 시도가 있었음  
  - 가장 많이 사용된 사용자명은 root, 345gs5662d34, admin, pi 등이었음. 그외 ubuntu, ubnt, support, user, oracle 등  
    - 345gs5662d34는 Polycom CX600 IP 전화기의 기본 자격증명일 가능성이 있음.  
  - 가장 많이 사용된 비밀번호는 345gs5662d34, 3245gs5662d34, admin, 123456, password 등이었음  
- 로그인 후 실행된 명령어들을 분석한 결과, 다음과 같은 의심스러운 활동들이 발견됨:  
  - 가장 많이 실행된 명령어   
    - `echo -e “\x6F\x6B”`: 6,775회  
    -  `cd ~; chattr -ia .ssh; lockr -ia .ssh`: 1,016회  
    - `uname -s -v -n -r -m`: 320회  
  - `oinasf` 스크립트 실행 후 `uname -s -m` 명령어로 시스템 정보 수집 시도  
  - `./ip cloud print` 명령어를 통해 MikroTik 라우터 공격 시도  
  - `mdrfckr` 암호화폐 채굴기 설치 및 다른 채굴기 프로세스는 종료시킴   
  - MIPS 아키텍처 악성코드 유포 시도(주로 라우터와 IoT 장치 대상)  
  - Gafgyt (BASHLITE) 악성코드의 일부인 `Sakura.sh` 스크립트 실행  
    - Gafgyt는 IoT 기기와 리눅스 시스템을 감염시키는 봇넷으로, DDoS 공격 등의 기능을 가지고 있음  
    - 약한 비밀번호나 기본 비밀번호, 알려진 취약점을 이용해 장치를 장악하려 함  
    - 2014년부터 존재하며, DDoS 공격을 실행할 수 있는 여러 변종으로 발전함  
  
### GN⁺의 의견  
- 허니팟을 통해 공격 패턴을 분석하고 방어 전략을 세우는 데 유용함.  
- 기본 사용자 이름과 비밀번호를 사용하는 것은 매우 위험함을 알 수 있음.  
- IoT 장치와 라우터는 특히 취약하므로 보안 설정을 강화해야 함.  
- 암호화 채굴기와 같은 멀웨어는 시스템 자원을 낭비하고 보안 위협을 초래함.  
- 새로운 보안 위협에 대비하기 위해 지속적인 모니터링과 업데이트가 필요함.

## Comments



### Comment 26315

- Author: nullptr
- Created: 2024-06-17T09:58:15+09:00
- Points: 1

345gs5662d34가 높길래 찾아 보니 특정 키보드에서 password라는 이야기( https://isc.sans.edu/diary/Common+usernames+submitted+to+honeypots/30188/#comments )가 있는데, 확실히는 모르겠네요...

### Comment 26331

- Author: cosine20
- Created: 2024-06-17T13:13:49+09:00
- Points: 2
- Parent comment: 26315
- Depth: 1

약간 votmdnjem(패스워드) 같은 느낌일 수 있겠네요

### Comment 26310

- Author: neo
- Created: 2024-06-17T09:45:55+09:00
- Points: 1

###### [Hacker News 의견](https://news.ycombinator.com/item?id=40694768) 
- **자체 호스팅 메일 서버와 방화벽 로그 분석**: 비정상적인 트래픽을 차단하기 위해 스크립트를 설정하고, 인터넷 보안 회사의 스캐너 네트워크를 차단하여 불필요한 트래픽을 50% 이상 줄임.

- **비밀번호 로그인 재활성화 후 보안 문제**: 비밀번호 로그인을 잠시 활성화한 후 수천 건의 로그인 시도가 발생했으며, 대부분 중국에서 발생한 것으로 확인됨.

- **스캐너 시각화**: 스캐너의 위치와 ASN을 시각화하여 더 나은 이해를 제공함. 엄격한 검증 절차를 가진 VPS 제공자가 스캐너 활동을 줄이는 데 도움이 됨.

- **SSH 보안 설정**: SSH 서버의 보안을 강화하기 위해 포트 변경, 비밀번호 인증 비활성화, 특정 사용자만 허용하는 설정을 추천함.

- **공개 키 인증만 사용하는 SSH**: 공개 키 인증만 사용한다면 fail2ban 같은 추가 보안 도구가 큰 도움이 되지 않으며, VPN 같은 추가 방어층을 추천함.

- **중국 IP 차단**: 대부분의 SSH 로그인 시도가 중국에서 발생하므로 중국 IP를 차단하고 필요 시 일시적으로 해제함.

- **익명 FTP 서버 운영 경험**: 2000년대 초반 익명 FTP 서버를 운영하며 최신 크랙 소프트웨어를 쉽게 얻었던 경험을 공유함.

- **자체 서버 호스팅의 긍정적 측면**: 인터넷에 노출된 모든 것은 누군가가 악용하려고 시도할 것이므로, 보안에 대한 이해를 높이는 것이 중요함.

- **알 수 없는 명령어 'lockr'**: 'lockr' 명령어에 대한 참조를 찾을 수 없으며, 주로 악성 코드가 chattr 명령어와 함께 실행하는 것으로 관찰됨.

- **MikroTik 라우터와 공격자 활동**: MikroTik 라우터의 클라우드 DNS 기능을 이용해 공격자가 라우터의 동적 DNS 항목을 확인하고, IP 주소 변경 시에도 접근할 수 있도록 함.