Descubre quién intenta atacarte mediante la vulnerabilidad Heartbleed con este honeypot

Escrito por Sergio De Luz
Seguridad
0

Con la vulnerabilidad Heartbleed descubierta y publicada, usuarios malintencionados podrían realizar peticiones de forma masiva a nuestros servidores para poder obtener la clave privada del servidor, usuarios y contraseñas de clientes que hayan iniciado sesión recientemente o capturar y descifrar el tráfico.

Para averiguar quién está intentado explotar la vulnerabilidad en nuestro servidor, podemos hacer uso de un sencillo Honeypot escrito en Perl. El modo de funcionamiento es muy sencillo ya que basta con ejecutarlo para que se ponga a “escuchar” las peticiones entrantes.

Podemos descargarnos el honeypot desde esta web, a continuación ejecutamos el código con la siguiente orden vía terminal:

perl honeypot.pl

Y se nos mostrará en el equipo algo así:

honeypot_heartbleed_1A continuación ejecutamos el script que se encarga de comprobar si un servidor está afectado por esta vulnerabilidad. Tenéis todos los detalles de cómo comprobar si tu servidor es vulnerable en este artículo. Nosotros hemos utilizado este script en Python.

Una vez que hemos descargado el script en Python, lo ejecutamos de la siguiente manera:

python ssltest.py [IP_SERVIDOR] -p 443

El flag -p indica el puerto, si por defecto está en el 443 no es necesario ponerlo. Con el honeypot activado, si ejecutamos el script en Python obtenemos lo siguiente:

honeypot_heartbleed_2

Y en el terminal que ejecutó el script en Perl nos aparecerá la dirección IP que ha realizado la solicitud:

honeypot_heartbleed_3

Aquí podéis ver en conjunto los dos terminales con ambas herramientas:

honeypot_heartbleed_4

Tenéis toda la información y más noticias sobre la vulnerabilidad de OpenSSL llamada Heartbleed en este enlace.


Noticias relacionadas