Поставил Cowrie на дешевую VPS и офигел от статистики за две недели

[TerraformSmith]

Ради интереса поднял Cowrie (SSH-ханипот) на VPS за 350 руб в месяц, ничего не анонсировал, IP свежий из пула хостера. Итог за 14 дней: 211 тысяч попыток логина, 9300 уникальных IP. Топ логинов: root, admin, ubuntu, oracle, test. Топ паролей: 123456, password и вечный 345gs5662d34, кто в теме, тот узнал. После успешного входа боты почти все делают одно и то же: определяют архитектуру, тянут скрипт под майнер с расчетом на mips/arm, то есть основная охота идет на роутеры и камеры, а не на сервера.

Выводы для себя как защитника: пароли на SSH в 2026 это самоубийство, только ключи. fail2ban срезает процентов 90 шума на третьей минуте. И главное, тезис у меня мелкий сервер, кому я нужен не существует в природе, весь IPv4 просканивается за часы, твой IP найдут раньше, чем ты успеешь донастроить машину.

[async2010]

смени порт на 2222 и шум упадет раз в десять. дешево и сердито

[fpga_lord]

Смена порта спасает от тупых ботов и все. Shodan и нормальные сканеры находят SSH на любом порту по баннеру, и 2222 в списках перебора стоит вторым после 22. Если уж делать по-взрослому, SSH вообще не должен смотреть в интернет: wireguard наружу, ssh внутри туннеля. На vps это 10 минут настройки.

[navspy]

А от хостера абузы не прилетели? У некоторых в ТОС прямым текстом запрещены ханипоты, видел истории как за cowrie блокировали аккаунт без разговоров. Каким хостером пользуешься, если не секрет (название можно не писать, хотя бы наш или зарубежный)?

[timur12]

@navspy, 345gs5662d34 это вроде дефолтная строка от polycom-железок, ботнеты ее гоняют в словарях лет десять минимум. забавно что она до сих пор живее всех живых, значит где-то эти железки еще отвечают

[van100]

Добавь к cowrie еще endlessh, он держит ботов на коннекте по 20-30 минут, отдавая бесконечный баннер. Пользы почти ноль, удовольствия масса.

А по делу: я такой же эксперимент год назад показал руководству, просто цифры на слайде, сколько стуков в сутки в наш внешний IP. Подействовало лучше любых моделей угроз, закрыли наружу все кроме 443 и VPN, на это два года до того не могли бюджет времени выбить. Рекомендую как аргумент.

[juniorredteam]

Shodan и нормальные сканеры находят SSH на любом порту по баннеру

находят, но ты путаешь видимость и долбежку. шодан тебя видит, а массовые брутеры в 90 процентах долбят только 22, им банально невыгодно сканить все порты на миллионах хостов. у меня после переезда на нестандартный порт попытки упали с тысяч в сутки до пары десятков. это не защита, понятно, ключи и так обязательны. это гигиена логов, чтобы среди мусора было видно настоящее

[kernel2]

@navspy, банят обычно не за сам ханипот, а за исходящее. cowrie наружу ничего не шлет, малварь он не исполняет, только записывает, так что абуз почти не бывает. а вот если поднять настоящую виртуалку-приманку с реальным шеллом, боты оттуда начинают сканить мир уже через час, и тогда аккаунт улетает в бан вместе с балансом. знакомый ровно так и попал, эксперимента ради