Sort:  

Ich bin zwar raus, aber danke für alles was du vermittelst. Auch wie du mit den "zuschauern" umgehst. Davon können sich mal viele was von abgucken :) Ich wünsch mal vorab ein geiles Himmelfahrt-Wochenende ! Okay ;)

Juhu, jetzt kann ich ScriptKiddys stalken.

Würde wahrscheinlich schnell langweilig werden, sind doch alle irgendwie aus dem Internet gedownloadete Scripts und viel Vielfalt wird es da nicht geben, am Ende siehst du wohl eher nur Bots die deine Resourcen verbrauchen, vlt. noch ein paar Coin Miners als Zugabe.

Sehr gute Arbeite , dein Know how und diese erklär Bär stimme , faszinieren mich immer wieder . Danke für all dein Arbeitsaufwand und Aufklärungen für die Steemit Gesellschaft.

Erklärbärstimme, herzlich

Danke für Teil zwei - passend dazu hat Ama.on den Pi losgeschickt damit ich hoffentlich am Samstag gleich mal loslegen kann.

Ich frage mich nur wie man den richtigen SSH Port, über den man sich anmeldet, am besten auf einen gemieteten Server versteckt. Dort hat man ja nicht unbedingt die Möglichkeit den Router zu konfigurieren. Aber ansonsten wieder einfach und verständlich erklärt @sempervideo.

Ja, guter Punkt! Hinter einem Router ist es nochmal was anderes als mit z. B. einem vServer. Wenn ich als Angreifer zwei SSH-Ports bei einem Scan sehen würde, würde mich das skeptisch machen.
Ich habe auf die schnelle nichts gefunden :/

Da gibt es schon Möglichkeiten. z.B. nach kurzem googlen bin ich auf diese Lösung gestossen: https://www.qikgrp.com/ssh-mit-iptables-tarnen/

Hab es gerade mal schnell mit meinem Pi getestet. Ist zwar ein interessanter Ansatz, aber leider nicht perfekt. Denn nach dem zweiten Port-Scan wird der Port halt trotzdem noch angezeigt. Damit kann man vielleicht Bots verjagen, aber ob ein echter Angreifer das nicht bemerken würde ist eine andere Sache. Es sei den man stellt vielleicht die Zeit bis zum freischalten des Ports etwas runter, das könnte dann aber echt nervig werden das Timing hinzukriegen.

Normalerweise scannen Tools wie Nmap nur die am häufigstgen verwendeten Ports , denn ein Scan aller 65535 Ports ist meist zu zeitaufwendig (Bei Nmap sind es die häufigsten 1000 Ports). Wenn du also für deinen SSH Service einen Port wählst, der nicht in einem normalen Scan abgefragt wird, dann fällt das wahrscheinlich fast nie auf.

Hm, ja klar bei der ersten schnellen Überprüfung wird das vermutlich nicht auffallen. Aber wenn der Angreifer schlau ist, und noch weitere Checks durch führt, fällt es ihm vielleicht auf. Wie gesagt vermutlich gut gegen Bots, aber halt nicht Perfekt.

kann man nicht einfach touch und ein Ordner Pfad nehmen wo alles drin ist? das währe doch einfach wie alles einzutippen damit er das neu einlist?

Danke für Teil 2. Das Thema ist für mich wirklich interessant, allerdings nichts für "mal eben nachmachen". Muss mir nun erstmal Gedanken dazu machen, wie und wo ich das Ganze sinnvoll nutzen kann.

Danke jetzt kann es richtig losgehen.
Gutes Video und allen ein schönes Himmelfahrt Wochenende.

Guter Guide und Erklärung, mir gefallen Videos zu eher technischen Themen oder tiefere Spielereien mehr als kurze für jeden kleinen Window-Trick, obwohl kurze Videos zu einem kurzen speziellen Thema vielleicht einfacher verdaulich sind. Beispiele hier aufgeführt. Oder da wir gerade beim Thema SSH sind wie man vielleicht ein SFTP Server aufsetzt oder in explorer eine einbindet.

Der ist automatisch da wenn du OpenSSH verwendest.

Gibt paar Sachen die man beachten sollte, wenn man nicht unbedingt jemandem SSH Zugriff geben will um Befehle auszuführen, sondern nur SFTP Zugriff auf einem bestimmten Ordnern braucht man ChrootDirectory Direktive, und muss Rechte und Benutzer entsprechend einrichten, ist auf jedenfall mehr zu erklähren, als wie man einen einzelnen Registry key setzt oder eine GUI Einstellung unter Windows toggelt /s
Dann könnte man noch einen Schritt weiter gehen und SSHD unter WSL in Windows versuchen aufzusetzen, fände ich zumindest interessant.

Hä warum changeroot? Also wenn du das ftp fürs file storing benutzen willst, würd ich dir eher seafile, nextcloud oder ftps verwenden. Sftp ist dafür nicht konstruiert worden, Im Allgemeinen kannsta du dock dem entsprechenden Nutzer alle rechte entziehen? Versteh einfach nicht dein Problem warum dieser nix ausführen sollen könnte.

Was für Rechte entziehen, wenn er SSH Zugriff hat, kann der Nutzer auch Befehle ausführen. Für File Share ist das nicht notwendig und man braucht auch nicht direkt NextCloud o.Ä. direkt installieren, was man dann auch wieder einrichten und verwalten muss, wenn es OpenSSH mitbringt.
"ChrootDirectory" um den Nutzer auf ein Ordner zu beschrenken und "ForceCommand internal-sftp" (bzw. noch "X11Forwarding no"/"AllowTcpForwarding no") um den Benutzer auf SFTP Zugriff zu beschrenken.
Wenn man einen minimalen Host will setzt man sich auch nicht NextCloud und sonstwas drauf sondern beschränkt sich auf SSH, Dateisysteme (ZFS), hypervisor Software usw.

Ganzschön viel Arbeit, die man in die Einrichtung des Honeypot steckt. Lohnt dieser Aufwand denn überhaupt für Privatanwender?

Nein, außer wenn du Interesse am Vorgehen von kriminellen hast. Selbst kann man für sich kaum Verbesserungen für sein System ziehen (außer vllt du hast nen Server) ansonsten sollten diverse Hardware- und Softwarehersteller daraus Rückschlüsse ziehen und ihre Produkte verbessern. Das bekommst du als Patch zur Verfügung gestellt

Merkt der Angreifer nicht, das er nicht auf dem zu Angreifenden (vermutlich windows) Pc ist, sondern auf einem leistungsschwachen linux?

Es geht dabei eher darum, einen nicht gezielten Angriff abzufangen. Dabei scannt der Angreifer mehrere IPs und sieht, dass bei deiner IP der Port 22 (Port von SSH) offen ist. Dann versucht er in deinen SSH einzudringen. Dabei weiss er nicht, was für ein System du hast und SSH wird normalerweise bei Windows nicht eingesetzt.

Meistens werden Angriffe auf SSH auf Linux Server angewendet, um danach beispielsweise in Webseiten Malware einzuschläusen oder Daten zu ergattern.

Laufen denn standardmäßig Anwendungen in dem Honeypot? Wenn ich als Angreifer so reinkommen würde, würde ich mich natürlich erstmal umsehen und schauen, was auf dem System läuft. Wenn da so gar nichts läuft (kein Web-, FTP-, oder Mail-Server) würde ich schon skeptisch sein.
Oder gibt es so viele "Server-Leichen", dass das nicht auffällig ist?

Naja das Ziel des Honeypots ist ja, dem Angreifer die Zeit zu stehlen. Da kann man z.B. die Dateien so platzieren, wie es z.B. auf einem richtigen Mailserver ist. Aber ja, er wird es schon früher oder später herausfinden.

Wolltet ihr nicht auch abschalten des der Honeypot den Angreifer raus schmeißt wenn er eine zeit nichts macht, damit der Angreifer nicht merkt das er auf einen Honeypot reingefallen ist?

@blockschrott und @sempervideo: Richtig - das habe ich auch vermisst auf die schnelle zwar ein setting für timeout gefunden (180s) aber ich werde trotz setzen auf 3600s recht zügig rausgekickt.
Ansonsten konnte ich den Rest nachvollziehen - ein Blogpost kommt, der das Vorgehen mittels Bildern und Text darstellt.

Wird es noch einen Teil geben, in dem die Ergebnisse ausgewertet werden?

Wieso ist die hinzugefügte Datei auch 4096 Byte groß? Das sieht eher als Verzeichnis aus.