SANS berichtet
SSH-Vandalen am Werk
Kippo Honeypots werden normalerweise so konfiguriert, dass diese root-Zugriffe mit schwachen Passwörtern erlauben. Kippo simuliert einen SSH-Server. Der Honeypot nimmt außerdem die Tastaturanschläge auf und kann diese in Echtzeit wieder abspielen.
Ein Angreifer zeigte sich dabei als echter Vandale. Er meldete sich an und hat danach den Befehl kill -9 -1 ausgeführt. Dies würde alle Prozesse mit einer PID größer als 1 terminieren. Ein echtes System würde danach nicht mehr reagieren.
Nun stellt sich der Sicherheitsexperte die Frage, ob es ein Angriff auf einen schlecht konfigurierten SSH-Server oder eine Methode zur Entdeckung eines Honeypots war. Die Geschwindigkeit des Angriffs lässt auf einen manuellen Angriff schließen.
Ullrich von SANS fragt, ob auch andere ähnliche Spielereien gesehen haben. (jdo)