Már lehet, hogy lassan túl sokat emlegetem, de én fejlesztek egy SSH szervert amit erre a célra fel tudsz használni: containerssh.io. Az új 0.4-es verzióban készül hozzá egy audit log featuret ami részletesen feljegyzi, hogy mi történt.
A korai próbálkozásokból itt találsz egy mintát. Ezekből a következőket szűrtük le:
- A próbálkozások közel 100%-a automatizált. 22-es és 2222-es porton túl szinte senki nem próbálkozik.
- A támadások közel 50%-a csak jelszóellenőrzés, azonnal kijelentkeznek.
- Azon támadások amelyek bejutnak elég szofisztikáltan vannak megcsinálva, SFTP-n töltenek fel statikusan forgatott binárisokat.
- Ritka az, hogy a scriptbe bármiféle hibakezelés be van építve. Ha nem működik, süketen tolja tovább.
- Olyan próbálkozásokat láttunk, hogy pl. a gépre kötött telefonon keresztül akart SMS spamelni, stb.
TL;DR ritka az, hogy rád vadásznak. Automatizált támadások tömkelege, alapvető biztonsági praktikák betartásával kivédhető.