我正在使用Ubuntu运行AWS EC2实例以及基于Python的模拟开放中继工具Shiva。简而言之,我基本上运行一个虚假的开放中继服务器,以便我可以通过它收集垃圾邮件/恶意软件样本。我已经看到所有看似正确配置的东西,并通过端口25从外部源远程登录到它,成功测试了它。在我的EC2实例中,我可以看到与端口25的成功连接以及消息传输代理(exim4)记录/传输的消息,然后根据需要重定向并解析到本地mysql数据库以进行此蜜罐设置。所有看起来都正常工作。
但是,在整整三天之后,除了我自己的测试消息之外,我还没有收到任何消息。 (成功地通过多个IP和开放式继电器测试工具进行了测试)。问题是,我可以看到连接到它的已知垃圾邮件发送者/僵尸网络IP,但他们从不发送任何内容。 IPTRAF的以下屏幕截图在第三行和第四行中显示了这个例子。
54.172.131 [。] 220是已知的垃圾邮件来源。第五行和第六行来自我自己通过telnet成功的测试连接。正如您所看到的,垃圾邮件IP使用端口25作为源端口,但我的146.185.x.x测试连接有25个作为dest端口。难道垃圾邮件IP不应该使用随机源端口,并且在我的测试中使用25吗?任何见解或方向表示赞赏。我唯一的预感是垃圾邮件/僵尸网络IP连接不希望通过亚马逊对出站SMTP流量的限制来转发AWS地址空间内的任何内容,并且我在IPTRAF中看到的连接是仅使用空标记数据包进行端口扫描。
配置注意事项
答案 0 :(得分:-1)
有很多原因。除非您将此蜜罐的IP地址映射到DNS服务器的MX记录,否则机器人将不知道它,除非他们盲目扫描IP地址。从机器人的角度来看,通过MX记录查找错误配置的SMTP服务器要容易得多。
Bots可以使用他们想要的任何源端口。他们通常拥有管理员权限。但是,你的样本很小,没有意义。
接下来,想想TCP端口25是古老的。今天大多数SMTP服务器都不会响应该端口。但是,旧的SMTP服务器会。支持所有常见的SMTP端口。
如果你想提供一个蜜罐来捕捉真正的黑客/僵尸程序,你需要让它看起来像一个真正的电子邮件服务器附加到一个众所周知的真实域名。使用此域名创建一些电子邮件地址,并订阅几十个(或更多)“可疑”电子邮件列表(例如:信用卡不良信用卡,色情网站等)。几个星期后你将不知所措。
不要指望黑客找到你,让他们很容易找到你。一旦他们这样做,他们将把你的服务器砸到地上。将有数百万次尝试攻击您的服务器,从他们控制的计算机发送垃圾邮件,DOS等。
提示:不要将错误返回给他们的尝试。始终返回正面回复。接下来的事情将是大量的远程控制机器人在坏人交易清单之后击中你的服务器。