Nombre de connexions E-Mail Statistiques du site
Bio

mercredi 18 novembre 2020
Nombre de visites : 550

La vie du serveur - Un piège à cons (ou honeypot)

Tout d’abord, un honeypot (pot de miel) est un dispositif créé pour attirer des pirates ou des programmes. C’est un programme qui imite un système vulnérable. La vulnérabilité peut être sur des mots de passe faibles ou sur des bugs programmes. Mais à la différence d’un vrai système vulnérable, en principe, on risque pas de se faire déborder. Les pirates peuvent lancer des commandes (qui ne font rien), telecharger des programmes (qui seront archivés dans un coin), etc...

Évidemment, il faut que le système qui porte ce honeypot soit blindé : bien mis à jour, avec les ports filtrés, etc ...

Alors pourquoi un honeypot ?

J’ai pas mal d’attaques sur le ssh sur mes serveurs. Fail2ban fait bien le boulot mais je ne peux pas voir ce que veulent tenter les pirates, c’est un peu frustrant. D’où l’idée de monter ce honeypot. On ne voit pas entre autres les mots de passe tentés : c’est logique, on ne doit pas loger ces tentatives car si un pirate prenait le contrôle de la machine, il n’aurait qu’a lister le fichier de log pour voir les mot de passe échoués qui seraient très proches des vrais (faute de frappe par exemple).

J’utilise Cowrie qui est un honeypot ssh/telnet. J’ai utilisé cette documentation sur une debian 10. Aucun problème d’installation.

J’ai juste ajouté une ligne dans le rc.local pour lancer le honeypot automatiquement :

su -c "/home/cowrie/cowrie/bin/cowrie start" - cowrie &

On voit que le service est lancé avec un utilisateur à droits restreints (pas root !!!) : comme ça , au cas ou cowrie serait troué, le pirate n’aurait pas beaucoup de droits pour tenter quelque chose ...

Maintenant, à quoi ça me sert ?
- la première des choses, c’est de voir la fréquence des attaques (surveiller via munin avec un petit script de ma conception)
- ensuite, voir les mot de passe tentés, c’est assez rigolo
- voir les programmes telechargés, on peut même rechercher des enquêtes sur le net pour comprendre ce qui a été tenté
- voir quels ports sont attaqués (bizarrement, le port 22 ne tente pas trop, les pirates tentent plutôt des port plus exotiques).

Bref, une nouvelle source d’informations et d’amusement geek ;-)




Répondre à cet article