Hola!

Muy buenas a todos/as!

Hace unos días publicaba los resultados que había obtenido al instalar y configurar Kippo como Honeypot SSH.

Y que, diversas IP habían estado atacando e intentar entrar.

Ahora he hecho lo mismo pero para RDP, que es el protocolo que se usa en sistemas Microsoft Windows para acceder con escritorio remoto.

Una vez mas, y siendo que lo he puesto solo durante dos días ya he tenido resultados, será que los atacantes están buscando hosts vulnerables después del fallo que ha salido de RDP?

Para instalar y configurar el Honeypot para RDP yo lo he hecho sobre una Debian.

Simplemente lo instalaremos con:

sudo apt-get install xrdp tcpdump

Debian instalará las dependencias necesarias. Instalamos tcpdump para recoger las conexiones.

Una vez instalado, en mi caso hago NAT al Honeypot de mi red.

Para recoger los logs del tcpdump lo haremos así.

tcpdump tcp port 3389 -i eth0 -vvX >> /home/rdp_logs/rdplog.txt &

Mas tarde una vez, queramos recoger que IP’s han intentado acceder al RDP nos ayudaremos del bash

cat rdplog.txt | awk ‘/192/ { print $1 }’| grep -v 192 | grep -v 0x

Los resultados que obtenemos son:

174.36.169.170-static.reverse.softlayer.com.x11
174.36.169.170-static.reverse.softlayer.com.x11
22.255.163.124.adsl-pool.sx.cn.x11
22.255.163.124.adsl-pool.sx.cn.x11
124.193.174.162.24089
124.193.174.162.24089
124.193.174.162.24089
124.193.174.162.24089

Las ip que salen en el fichero son conocidas ya por pertenecer a Intruders o ataques automáticos.

Dejaré un tiempo mas el RDP para ver si se reciben más ataques.

Saludos!