▲neo 5달전 | parent | favorite | on: GN⁺: SSH Honeypot을 30일 동안 운영하면 보게 되는 것(blog.sofiane.cc)Hacker News 의견 자체 호스팅 메일 서버와 방화벽 로그 분석: 비정상적인 트래픽을 차단하기 위해 스크립트를 설정하고, 인터넷 보안 회사의 스캐너 네트워크를 차단하여 불필요한 트래픽을 50% 이상 줄임. 비밀번호 로그인 재활성화 후 보안 문제: 비밀번호 로그인을 잠시 활성화한 후 수천 건의 로그인 시도가 발생했으며, 대부분 중국에서 발생한 것으로 확인됨. 스캐너 시각화: 스캐너의 위치와 ASN을 시각화하여 더 나은 이해를 제공함. 엄격한 검증 절차를 가진 VPS 제공자가 스캐너 활동을 줄이는 데 도움이 됨. SSH 보안 설정: SSH 서버의 보안을 강화하기 위해 포트 변경, 비밀번호 인증 비활성화, 특정 사용자만 허용하는 설정을 추천함. 공개 키 인증만 사용하는 SSH: 공개 키 인증만 사용한다면 fail2ban 같은 추가 보안 도구가 큰 도움이 되지 않으며, VPN 같은 추가 방어층을 추천함. 중국 IP 차단: 대부분의 SSH 로그인 시도가 중국에서 발생하므로 중국 IP를 차단하고 필요 시 일시적으로 해제함. 익명 FTP 서버 운영 경험: 2000년대 초반 익명 FTP 서버를 운영하며 최신 크랙 소프트웨어를 쉽게 얻었던 경험을 공유함. 자체 서버 호스팅의 긍정적 측면: 인터넷에 노출된 모든 것은 누군가가 악용하려고 시도할 것이므로, 보안에 대한 이해를 높이는 것이 중요함. 알 수 없는 명령어 'lockr': 'lockr' 명령어에 대한 참조를 찾을 수 없으며, 주로 악성 코드가 chattr 명령어와 함께 실행하는 것으로 관찰됨. MikroTik 라우터와 공격자 활동: MikroTik 라우터의 클라우드 DNS 기능을 이용해 공격자가 라우터의 동적 DNS 항목을 확인하고, IP 주소 변경 시에도 접근할 수 있도록 함.
Hacker News 의견
자체 호스팅 메일 서버와 방화벽 로그 분석: 비정상적인 트래픽을 차단하기 위해 스크립트를 설정하고, 인터넷 보안 회사의 스캐너 네트워크를 차단하여 불필요한 트래픽을 50% 이상 줄임.
비밀번호 로그인 재활성화 후 보안 문제: 비밀번호 로그인을 잠시 활성화한 후 수천 건의 로그인 시도가 발생했으며, 대부분 중국에서 발생한 것으로 확인됨.
스캐너 시각화: 스캐너의 위치와 ASN을 시각화하여 더 나은 이해를 제공함. 엄격한 검증 절차를 가진 VPS 제공자가 스캐너 활동을 줄이는 데 도움이 됨.
SSH 보안 설정: SSH 서버의 보안을 강화하기 위해 포트 변경, 비밀번호 인증 비활성화, 특정 사용자만 허용하는 설정을 추천함.
공개 키 인증만 사용하는 SSH: 공개 키 인증만 사용한다면 fail2ban 같은 추가 보안 도구가 큰 도움이 되지 않으며, VPN 같은 추가 방어층을 추천함.
중국 IP 차단: 대부분의 SSH 로그인 시도가 중국에서 발생하므로 중국 IP를 차단하고 필요 시 일시적으로 해제함.
익명 FTP 서버 운영 경험: 2000년대 초반 익명 FTP 서버를 운영하며 최신 크랙 소프트웨어를 쉽게 얻었던 경험을 공유함.
자체 서버 호스팅의 긍정적 측면: 인터넷에 노출된 모든 것은 누군가가 악용하려고 시도할 것이므로, 보안에 대한 이해를 높이는 것이 중요함.
알 수 없는 명령어 'lockr': 'lockr' 명령어에 대한 참조를 찾을 수 없으며, 주로 악성 코드가 chattr 명령어와 함께 실행하는 것으로 관찰됨.
MikroTik 라우터와 공격자 활동: MikroTik 라우터의 클라우드 DNS 기능을 이용해 공격자가 라우터의 동적 DNS 항목을 확인하고, IP 주소 변경 시에도 접근할 수 있도록 함.