打造蜜罐服务器误导攻击者

　2008-06-11 13:16:05　来源：WEB开发网　　　

核心提示： (9:21:53) The IP 192.168.1.6 () tried invasion by telnet (PASSWORD )(9:22:21) The IP 192.168.1.6 () tried invasion by telnet (USER admin)(9:22:42

(9:21:53) The IP 192.168.1.6 () tried invasion by telnet (PASSWORD )

(9:22:21) The IP 192.168.1.6 () tried invasion by telnet (USER admin)

(9:22:42) The IP 192.168.1.6 () tried invasion by telnet (PASSWORD )

(9:23:08) The IP 192.168.1.6 () tried invasion by telnet (USER root)

(9:23:29) The IP 192.168.1.6 () tried invasion by telnet (PASSWORD )

The invasor disconnected from the telnet server

(9:23:58) The IP 192.168.1.6 () tried invasion by telnet (CONNECTION )

(9:24:22) The IP 192.168.1.6 () tried invasion by telnet (USER root)

(9:24:44) The IP 192.168.1.6 () tried invasion by telnet (PASSWORD root)

(9:25:08) The IP 192.168.1.6 () tried invasion by telnet (dir)

(9:25:41) The IP 192.168.1.6 () tried invasion by telnet (cd files)

(9:26:20) The IP 192.168.1.6 () tried invasion by telnet (net user)

(9:26:49) The IP 192.168.1.6 () tried invasion by telnet (net user)

(9:27:38) The IP 192.168.1.6 () tried invasion by telnet (net user asp$ test168 /add)

(9:28:32) The IP 192.168.1.6 () tried invasion by telnet (net u)

(9:29:12) The IP 192.168.1.6 () tried invasion by telnet (net localgroup administrators asp$ /add)

(9:29:36) The IP 192.168.1.6 () tried invasion by telnet (exit)

信息分析：从信息中，我们可以看到攻击者Telnet到服务器分别用administrator、admin、root空密码进行探视均告失败，然后再次连接用root用户和root密码进入系统。接下来用dir命令查看了目录，创建了一个用户名为asp$，密码为test168的管理员密码。攻击者的所作所为一目了然，我们获得了这些信息后，可以尝试用此用户和密码远程连接攻击者的服务器。因为，很多恶意攻击者，在入侵后创建的用户就是自己的服务器使用的用户和密码，这也是社会工程学的利用吧。

4、蜜罐提醒

如果我们不能在服务器前跟踪攻击者的攻击动作时，当想了解攻击者都做了些什么时，可以使用HoneyPot提供的“提醒”功能。在软件主界面点击“Options”按钮，在打开设置窗口中，设置自己的E-mail信箱，其自动将攻击者的动作记录下来，发送到设置的邮箱中。选中“Send logs by e-mail”，在输入框中填写自己的邮箱地址，邮件发送服务器地址，发送者邮箱地址。再选中“Authenticaton required”，填写邮箱的登录名和密码，自己就可以随时掌握攻击者的入侵情况了。

另外还可以选中“Save outomatic logs on in the directory”将入侵日志保存到指定的目录中，方便日后分析(图11)。

打造蜜罐服务器误导攻击者