SMTP-Honeypot erhält keine Pakete von Port 25 verbunden. Bekannte Spam-IPs

Question

Ich betreibe eine AWS EC2-Instanz mit Ubuntu neben dem Python-basierten SMTP-Pseudo-Open-Relay-Tool namens Shiva. Kurz gesagt, ich betreibe einen gefälschten Open-Relay-Server, um Spam- und Malware-Samples zu sammeln. Ich habe alles anscheinend richtig konfiguriert und habe es erfolgreich getestet, indem ich über Port 25 von einer externen Quelle telnette. Innerhalb meiner EC2-Instanz kann ich die erfolgreiche Verbindung zu Port 25 sehen, sowie die Nachricht, die von dem Nachrichtentransfer-Agenten (exim4) protokolliert/übertragen wird und dann umgeleitet und analysiert zu einer lokalen mysql-db, wie für diese Honeypot-Einrichtung gewünscht. Alles sieht gut aus.

Allerdings habe ich nach drei Tagen keine einzige Nachricht außer meinen eigenen Testnachrichten erhalten. (hat erfolgreich Tests von mehreren IPs und über Open-Relay-Test-Tools durchgeführt). Der Haken ist, dass ich bekannte Spammer/Botnet-IPs sehen kann, die sich damit verbinden, aber sie senden nie etwas. Der folgende Screenshot von IPTRAF zeigt ein Beispiel dafür in der dritten und vierten Zeile.

Connections on SMTP Honeypot

54.172.131 [.] 220 ist die bekannte Spam-Quelle. Die fünfte und sechste Zeile stammen von meiner eigenen erfolgreichen Testverbindung via Telnet. Wie Sie sehen können, verwendet die Spam-IP Port 25 als Quellport, aber meine Testverbindung von 146.185.x.x hat 25 als Zielport. Sollte die Spam-IP nicht wie in meinem Test einen randomisierten Quellport und 25 als Ziel verwenden? Jede Einsicht oder Richtung wird geschätzt. Die einzige Ahnung, die ich habe, ist, dass die Spam-/Botnet-IP-Verbindungen nicht durch irgendetwas im AWS-Adressraum durch Amazons Drosselung des ausgehenden SMTP-Datenverkehrs weitergeleitet werden und dass die Verbindungen, die ich in IPTRAF sehe, nur Port-Scans mit Null-Flags sind Pakete.

Überlegungen zur Konfiguration

• Flushed alle iptables-Regeln als
• erlaubt sowohl Inbound- und Outbound-Port 25 Verbindungen zu 0.0.0.0/0 innerhalb EC2-Sicherheitsgruppe
• Keine andere Firewalls anstelle
• erwünscht Unter Verwendung von exim4 als MTA
• IP von Honeypot sitzt innerhalb AWS-Adressraum

Answer 1

Es gibt eine Reihe von Gründen. Wenn Ihre IP-Adresse für diesen Honeypot nicht dem MX-Eintrag eines DNS-Servers zugeordnet ist, wissen die Bots nichts davon, es sei denn, sie scannen blind die IP-Adressen. Aus der Sicht des Bot ist es viel einfacher, nach falsch konfigurierten SMTP-Servern über MX-Datensätze zu suchen.

Bots können jeden gewünschten Quellport verwenden. Sie haben normalerweise Administratorrechte. Ihre Stichprobe ist jedoch so klein, dass sie bedeutungslos ist.

Als nächstes denken Sie an TCP-Port 25 ist alt. Die meisten SMTP-Server reagieren heute nicht auf diesen Port. Alte SMTP-Server werden dies jedoch tun. Unterstützt alle gängigen SMTP-Ports.

Wenn Sie einen Honeypot bereitstellen möchten, um echte Hacker/Bots zu fangen, müssen Sie ihn wie einen echten E-Mail-Server aussehen lassen, der an einen echten, bekannten Domainnamen angehängt ist. Erstellen Sie ein paar E-Mail-Adressen mit diesem Domainnamen und abonnieren Sie ein paar Dutzend (oder mehr) "fragwürdige" E-Mail-Listen (Beispiel: Kreditkarten für arme Kreditnehmer, Porno-Websites usw.). Sie werden in ein paar Wochen überwältigt sein.

Erwarten Sie nicht, dass Hacker Sie finden, machen Sie es Ihnen leicht, Sie zu finden. Sobald sie dies tun, werden sie Ihre Server in den Boden pochen. Es wird Millionen von Versuchen geben, Ihren Server zu hacken, SPAM-E-Mails, DOS usw. zu senden.von den Computern, die sie kontrolliert haben.

Hinweis: keine Fehler zu ihren Versuchen zurückgeben. Gib immer positive Antworten zurück. Die nächste Sache wird eine riesige Armee von ferngesteuerten Bots sein, die eure Server treffen, nachdem die bösen Jungs Listen miteinander tauschen.