在“Telnet Server”的高级设置项中,还可以伪装驱动器盘符(Drive)、卷标(Volume)、序列号(serial no),以及目录创建时间和目录名,剩余磁盘空间(Free space in bytes),MAC地址,网卡类型等。(图9)
3、开启监视
蜜罐搭建成功后,点击HoneyPot主程序界面的“Monitore”按钮,开始监视恶意攻击者了。当有人攻击我们的系统时,会进入我们设置的蜜罐。在HoneyPot左面窗口中的内容,就可以清楚地看到,恶意攻击者都在做什么,进行了哪些操作了。
例如我们在虚拟机B中对虚拟机A(蜜罐服务器)进行telnet连接,蜜罐中显示信息如下:(图10)
(9:20:52) The IP 192.168.1.6 () tried invasion by telnet (CONNECTION )
(9:21:31) The IP 192.168.1.6 () tried invasion by telnet (USER administrator)
(9:21:53) The IP 192.168.1.6 () tried invasion by telnet (PASSWORD )
(9:22:21) The IP 192.168.1.6 () tried invasion by telnet (USER admin)
(9:22:42) The IP 192.168.1.6 () tried invasion by telnet (PASSWORD )
(9:23:08) The IP 192.168.1.6 () tried invasion by telnet (USER root)
(9:23:29) The IP 192.168.1.6 () tried invasion by telnet (PASSWORD )
The invasor disconnected from the telnet server
(9:23:58) The IP 192.168.1.6 () tried invasion by telnet (CONNECTION )
(9:24:22) The IP 192.168.1.6 () tried invasion by telnet (USER root)
(9:24:44) The IP 192.168.1.6 () tried invasion by telnet (PASSWORD root)
(9:25:08) The IP 192.168.1.6 () tried invasion by telnet (dir)
(9:25:41) The IP 192.168.1.6 () tried invasion by telnet (cd files)
(9:26:20) The IP 192.168.1.6 () tried invasion by telnet (net user)
(9:26:49) The IP 192.168.1.6 () tried invasion by telnet (net user)
(9:27:38) The IP 192.168.1.6 () tried invasion by telnet (net user asp$ test168 /add)
(9:28:32) The IP 192.168.1.6 () tried invasion by telnet (net u)
(9:29:12) The IP 192.168.1.6 () tried invasion by telnet (net localgroup administrators asp$ /add)
(9:29:36) The IP 192.168.1.6 () tried invasion by telnet (exit)
信息分析:从信息中,我们可以看到攻击者Telnet到服务器分别用administrator、admin、root空密码进行探视均告失败,然后再次连接用root用户和root密码进入系统。接下来用dir命令查看了目录,创建了一个用户名为asp$,密码为test168的管理员密码。攻击者的所作所为一目了然,我们获得了这些信息后,可以尝试用此用户和密码远程连接攻击者的服务器。因为,很多恶意攻击者,在入侵后创建的用户就是自己的服务器使用的用户和密码,这也是社会工程学的利用吧。
上一页 [1] [2] [3] [4] [5] [6] 下一页
【责编:Zenghui】
相关文章
相关产品和培训
文章评论
专题推荐
今日更新 认证培训 频道精选
您现在的位置: 
2008-6-11
