Linux SSH Fake Server aber kein Honeypots

Hallo,

ich suche einen ganz einfachen Linux SSH Fake Server.

Auf meinen Linux Servern läuft SSH auf einem anderen Port und, wo es geht, mit VPN und Firewall geschützt.
Aber hin und wieder findet Jemand den Port und probiert sich dran.

Ich suche nun ein ganz einfaches Programm was nach außen aussieht wie ein SSH Server und auf jede Kombination von Benutzernamen und Kennwort ungültige Zugangsdaten meldet.

Gefunden habe aber "nur" komplexe Honeypots und umkonfigurierte SSH Server.
Beides möchte ich nicht auf Produktiv-Servern nutzen.

Kennt Jemand einen ganz einfach SSH Fake Server?
Zum Beispiel Pearl oder Java?

Gesucht für CentOS, Ubuntu LTS und Debian.

Viele Grüße

Stefan

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 281397

Url: https://administrator.de/contentid/281397

Ausgedruckt am: 26.11.2024 um 16:11 Uhr

8 Kommentare

Neuester Kommentar

Warum installierst du nicht das fail2ban Package auf deinem Server und macht die Rules sehr strikt. also nach 3 (oder auch weniger) Fehlversuchen wird gebant.
SSH dann nur mit Zertifikat.

Es sollte kein Problem darstellen, einen OpenSSH-Server als weitere Instanz auf einem anderen Port (also bei dir TCP/22) in Betrieb zu nehmen mit einer Benutzerdatenbank, die leer ist.

Zitat von @aqui:
Warum installierst du nicht das fail2ban Package auf deinem Server und macht die Rules sehr strikt. also nach 3 (oder auch weniger) Fehlversuchen wird gebant. SSH dann nur mit Zertifikat.

So ist es installiert. Mit 5 versuchen und Ban für 24h pro IP.
Aber wenn die Leute sich an dem Fake SSH versuchen, versuchen Sie gar nicht erst am richtigen zu klopfen.

Zitat von @tikayevent:

Es sollte kein Problem darstellen, einen OpenSSH-Server als weitere Instanz auf einem anderen Port (also bei dir TCP/22) in Betrieb zu nehmen mit einer Benutzerdatenbank, die leer ist.

Hast Du dafür ein Link oder Beispiel?

Hallo,

wäre es nicht besser einfach drei Listen anzulegen und dann ein Script oder eine Firewallregel
dazu zu benutzen dass;
- Jede IP auf eine Liste kommt die es vergeblich mehr als x mal probiert hat
- Jede IP die dort steht und es immer noch versucht auf Liste 2 kommt
- Jede IP die dort steht und es immer noch versucht auf Liste 3 kommt
-- Liste 1 = 15 Minuten gesperrt
-- Liste 2 = 1 Stunde gesperrt
-- Liste drei für 24 Stunden gesperrt

Oder einfach FailtoBan installieren das macht genau das was ich hier eben beschrieben habe.

Aber hin und wieder findet Jemand den Port und probiert sich dran.

Das geschieht heute schon alles vollautomatisch.

Ich suche nun ein ganz einfaches Programm was nach außen aussieht wie ein SSH Server und
auf jede Kombination von Benutzernamen und Kennwort ungültige Zugangsdaten meldet.

Bei mehreren tausend Anmeldeversuchen pro Sekunde wird das aber nicht lustig für Dein
Emailpostfach!

Gefunden habe aber "nur" komplexe Honeypots und umkonfigurierte SSH Server.

Die sind auch für ganz andere Sachen gedacht;
- Früher hat man so etwas aufgestellt um Leute zu irritieren und vom eigentlichen Ziel abzubringen
- Heute wird so etwas zu Analysezwecken verwendet um die Arbeitsweise von Eindringlingen und
Viren besser auswerten und verstehen zu können.

Beides möchte ich nicht auf Produktiv-Servern nutzen.

Würde ich auch nicht machen wollen, das wir meist auf extra Servern und/oder in Jails eingesetzt.

Mit FailtoBan hält man sich so etwas vom Server fern, genau das was Du brauchst.

Gruß
Dobby

Hallo,

habe ich nicht gesagt, aber wir nutzen Fail2Ban mit einer Extension.
5 falsche Versuch und dann wird die IP für 24h gesperrt.
Wenn die IP ein 2. Mail auffällt bekomme ich eine Mail und kann die IP oder gleich das Subnetz sperren.

Aber wenn der Jemand sich an Port 22 versucht und dann nicht weitersucht wäre ich glücklicher.

Stefan

Ich habe verschiedene Anleitungen gefunden mit denen man den openssh-Server mehrfach installieren kann.
Ich werde das mal ausprobieren und dann berichten.

Viele Grüße

Stefan