suspicious_IPs — Suspicious IP addresses collected from my SSH honeypot running on a cloud VPS. Honeypot randomly accepts 1% of auth reqests and sends a fake Linux shell to the client. Repo updates every 30 minutes (unless there is no new activity).
Ein Sicherheitsexperte hat eine SSH-Honeypot-Installation auf einem Cloud-VPS eingerichtet, die zufällig 1% der Anmeldeversuche akzeptiert und einen falschen Linux-Schaltnetzwerkanschluss an den Client sendet. Die Sammlung von verdächtigen IP-Adressen wird alle 30 Minuten aktualisiert. Benutzer sollten ihre Cloud-Sicherheitsmaßnahmen überarbeiten, einschließlich Firewall-Einstellungen und Authentifizierungsschutzmechanismen, um Angriffen zu begegnen.
Der Artikel beschreibt ein Repository mit verdächtigen IP-Adressen aus einem SSH-Honeypot auf einem Cloud-VPS. Der Honeypot akzeptiert zufällig 1 Prozent der Authentifizierungsversuche und präsentiert eine falsche Linux-Shell. Die Liste wird alle 30 Minuten aktualisiert, sofern neue Aktivität vorliegt.
Cloud- und SSH-betriebene Systeme, insbesondere öffentlich erreichbare VPS-Instanzen.
Die Sammlung kann Hinweise auf Quellen von SSH-Loginversuchen liefern und unterstützt die Überprüfung exponierter Cloud-Dienste.
Ein öffentlich erreichbarer SSH-Dienst mit schwacher Authentifizierung könnte kompromittiert werden; der Artikel beschreibt jedoch keinen bestätigten Einbruch.
SSH-Exposition, Firewall-Regeln, starke Authentifizierung und Login-Monitoring prüfen.
- ▸Defensiver Check: Prüfen, ob SSH nur aus erlaubten Netzbereichen erreichbar ist.
- ▸Defensiver Check: Authentifizierungslogs auf ungewöhnlich viele fehlgeschlagene oder unbekannte Loginversuche untersuchen.
- ▸Defensiver Check: Sicherstellen, dass starke Authentifizierung und Rate-Limiting oder vergleichbare Schutzmechanismen aktiv sind.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Credential Access | T1110 Brute Force | Medium | Der Honeypot verarbeitet SSH-Authentifizierungsversuche und sammelt verdächtige IP-Adressen. |
| Initial Access | T1021.004 Remote Services: SSH | Low | Der Artikel bezieht sich auf SSH-Aktivität gegen einen Cloud-VPS; erfolgreiche Nutzung legitimer Zugangsdaten wird nicht bestätigt. |
- Keine konkreten IP-Adressen im Artikelinhalt angegeben.
- Keine Angreifergruppen, Länder oder Malware-Familien angegeben.
- Keine bestätigten Kompromittierungen angegeben.