{"id":1106,"date":"2021-10-24T19:51:50","date_gmt":"2021-10-24T17:51:50","guid":{"rendered":"https:\/\/torstenzimmermann.de\/wordpress\/?p=1106"},"modified":"2022-02-10T13:59:18","modified_gmt":"2022-02-10T12:59:18","slug":"ssh-tarpit-im-docker-einrichten","status":"publish","type":"post","link":"https:\/\/torstenzimmermann.de\/wordpress\/ssh-tarpit-im-docker-einrichten\/","title":{"rendered":"SSH-Tarpit im Docker einrichten"},"content":{"rendered":"\n

Bitte beachten Sie, dass es sich um einen Eingriff auf eigene Gefahr handelt! Alle Angaben sind ohne Gew\u00e4hr von Richtigkeit und Vollst\u00e4ndigkeit<\/strong>. Lesen Sie nur weiter, wenn Ihnen bewusst ist, dass dadurch Ihr System besch\u00e4digt werden kann. Wir \u00fcbernehmen keine Haftung!<\/strong><\/p>\n\n\n\n

Wie man (im Docker) ein SSH-Tarpit einrichtet und wozu das ganze \u00fcberhaupt.<\/p>\n\n\n\n

Im folgenden wird das Synology DSM Docker genutzt, funktioniert nat\u00fcrlich so (oder so \u00e4hnlich) in jedem anderen Linux auch.<\/p>\n\n\n\n

Zuerst einmal m\u00f6chte ich das „Wozu“ erkl\u00e4ren.<\/p>\n\n\n\n

Das Tarpit „f\u00e4ngt“ SSH anfragen ein und l\u00e4sst diese dann „versumpfen“ bis der Angreifer die Verbindung trennt.<\/p>\n\n\n\n

Dieser Vorgang kann seitens tarpit unendlich lange dauern und verschwendet damit Bot Zeit. In dieser Zeit in der er gefangen ist im tarpit kann er mit dieser resource niemand anderen versuchen zu hacken. Ob man das machen m\u00f6chte ist also rein optional. Das beste ist: es frisst eigentlich fast keine Resourcen.<\/p>\n\n\n\n

Setze ich mich dadurch eine Gefahr aus gehackt zu werden ?
Kurzum: Nein.
In Lang: Endlessh schickt unendlich lange und sehr langsam an den Client pseudo Daten f\u00fcr den Verbindungsaufbau. Der Verbinundsaufbau wird nie zustande kommen und, wenn der Client es mitmacht, ewig im Verbindungsaufbau stehen bleiben. Aber selbst wenn er auf magische Weise irgendwie die Verbindung hacken w\u00fcrde: Er w\u00e4re in einem Docker Container ohne alles. Er k\u00e4me da eh nicht raus oder k\u00f6nnte irgendwas machen. Aber wie gesagt, das ist unm\u00f6glich das es passieren kann. <\/p>\n\n\n\n

siehe auch: https:\/\/www.youtube.com\/watch?v=EJdobdjI3xg<\/a><\/p>\n\n\n\n

Jetzt das „Wie“:<\/p>\n\n\n\n

Wir \u00f6ffnen in der DSM das Docker und suchen bei „Registrierung“ folgendes Paket: harshavardhanj\/endlessh<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

hier der Link zum Projekt:
https:\/\/registry.hub.docker.com\/r\/harshavardhanj\/endlessh\/<\/a><\/p>\n\n\n\n

und f\u00fcr die Leute Compose.yml Leute:<\/p>\n\n\n\n

version: \"3.4\"\nservices:\n    endlessh:\n        image: harshavardhanj\/endlessh:latest\n        ports:\n        - \"2222:2222\"\n        restart: always<\/code><\/pre>\n\n\n\n
<\/p>\n\n\n\n
Wir brauchen allerdings noch folgende Umgebungsvariable:<\/p>\n\n\n\n
TZ: Europe\/Berlin
<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
damit stellen wir die Timezone auf unsere Breitengrade.<\/p>\n\n\n\n
Ich empfehle ausserdem ein Volume f\u00fcr die Config zu erstellen, das kann so aussehen<\/p>\n\n\n\n
\"\"
Damit bleiben unsere Einstellungen auch nach einem evtl Containerupdate bestehen und erleichtert und ggfs. die Config zu editieren (wenn Bedarf besteht, z.b. nur IPv4 zu nutzen oder der Container soll einen anderen Port nutzen oder was auch immer). Eigentlich ist das aber nicht notwendig.<\/figcaption><\/figure>\n\n\n\n
Dann sollten wir noch den Port f\u00fcr den Docker-Container definieren:<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
haben wir das alles eingestellt k\u00f6nnen wir den Container starten. Er nimmt kaum Resourcen ein, ein Raspberry PI der ersten generation w\u00fcrde den auch schultern k\u00f6nnen und sich langweilen wie ihr seht.<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Last but noch least m\u00fcssen wir im Router, in folgenden eine Fritzbox noch einen Port 22 auf machen und ihn an den Docker host mit dem Port 2222 weiterleiten. Wir wollen ja so tun als h\u00e4tten wir ein verwundbares Ger\u00e4t im Internetz.<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
das Netzwerkger\u00e4t ausw\u00e4hlen und auf „Neue Freigabe“<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Fertig ist eure Teergrube um Bots zu fangen und zu nerven. Damit macht ihr das Internet ein st\u00fcck sicherer.
Viele Bots verlieren mit der Zeit auch das Interesse an der IP wenn sie merken das sie hier nicht weiterkommen, noch ein Pluspunkt.<\/p>\n\n\n\n
So, wenn ihr jetzt aber auch zu den Menschen geh\u00f6rt die jetzt wissen wollen wieviel Zeit hab ich denn bei den Bots jetzt verschwendet ? Dann geht in euren DSM Aufgaben Planer:<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Lasst den task als „root“ laufen, lasst euch das Ergebnis per E-Mail zusenden und gebt bei Benutzerdefiniertes Script folgendes ein:<\/p>\n\n\n\n
\n
\n
\n
\n
docker logs tarpit > \/volume1\/docker\/ssh-tarpit\/log\/endlessh.log && echo „7 Tage Auswertung des ssh-tarpit:“ && echo „—————————“ && grep -i ‚time‘ \/volume1\/docker\/ssh-tarpit\/log\/endlessh.log | echo „Angreifer:“ $(awk -v date=“$(date +’%Y-%m-%d‘ –date ‚7 days ago‘)“ -F, ‚{if($1>date){print $0}}‘ | wc -l) &&grep -i ‚time‘ \/volume1\/docker\/ssh-tarpit\/log\/endlessh.log | awk -v date=“$(date +’%Y-%m-%d‘ –date ‚7 days ago‘)“ -F, ‚{if($1>date){print $0}}‘ | cut -f6 -d “ “ | cut -f2 -d „=“ | awk ‚{ SUM += $1; print $1 } END {print SUM\/60}‘ | awk ‚{printf „Verschwendete Zeit in Minuten: “ „%.2f\\n“, $1}’| tail -1 && grep -i ‚time‘ \/volume1\/docker\/ssh-tarpit\/log\/endlessh.log | awk -v date=“$(date +’%Y-%m-%d‘ –date ‚7 days ago‘)“ -F, ‚{if($1>date){print $0}}‘ | cut -f6 -d “ “ | cut -f2 -d „=“ | awk ‚{ SUM += $1; print $1 } END {print SUM\/60\/60}‘ | awk ‚{printf „Verschwendete Zeit in Stunden: “ „%.2f\\n“, $1}’| tail -1 && grep -i ‚time‘ \/volume1\/docker\/ssh-tarpit\/log\/endlessh.log | awk -v date=“$(date +’%Y-%m-%d‘ –date ‚7 days ago‘)“ -F, ‚{if($1>date){print $0}}‘ | cut -f6 -d “ “ | cut -f2 -d „=“ | awk ‚{ SUM += $1; print $1 } END {print SUM\/60\/60\/24}‘ | awk ‚{printf „Verschwendete Zeit in Tage: “ „%.2f\\n“, $1}’| tail -1
echo “ „
<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n\n\n\n
ggfs m\u00fcsst ihr die Pfade anpassen. Das sieht dann so aus:<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Was macht der Monstertext da ?<\/p>\n\n\n\n
Zuerst mal holt er sich die Log files und schreibt sie ins Docker Verzeichnis und sucht mit „grep“ nach im Logfile nach Anzahl der Angreifer, Verbindungszeiten und rechnet das ganze in Minuten, Stunden und Tage um.<\/p>\n\n\n\n
Das Ergenis sieht etwa so aus:<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
In meinen Fall lass ich die letzten 7 Tage nur auswerten. Bei bedarf kann man den „Monstertext“ leicht anpassen auf jeden anderen Zeitraum, z.b. alle 28 tage. alle 31 tage. Der genutzte Befehl „AWK“ w\u00fcrde auch 1 Month ago verstehen oder 4 weeks ago.<\/p>\n\n\n\n
<\/p>\n\n\n\n
<\/p>\n
\n                \n             <\/div>
\"ajax<\/div><\/div>","protected":false},"excerpt":{"rendered":"
Bitte beachten Sie, dass es sich um einen Eingriff auf eigene Gefahr handelt! Alle Angaben sind ohne Gew\u00e4hr von Richtigkeit und Vollst\u00e4ndigkeit. Lesen Sie nur weiter, wenn Ihnen bewusst ist, dass dadurch Ihr System besch\u00e4digt werden kann. Wir \u00fcbernehmen keine Haftung! Wie man (im Docker) ein SSH-Tarpit einrichtet und wozu das ganze \u00fcberhaupt. Im folgenden […]<\/p>\n","protected":false},"author":6,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[45],"tags":[47,48],"class_list":["post-1106","post","type-post","status-publish","format-standard","hentry","category-synonlogy-nas","tag-synology","tag-tarpit"],"_links":{"self":[{"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/posts\/1106","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/comments?post=1106"}],"version-history":[{"count":6,"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/posts\/1106\/revisions"}],"predecessor-version":[{"id":1159,"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/posts\/1106\/revisions\/1159"}],"wp:attachment":[{"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/media?parent=1106"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/categories?post=1106"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/tags?post=1106"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}