Har du noen gang ønsket å overvåke brute-force angrep og vet hvor ofte angriperne forsøkte å få tilgang til serveren din? Vel, er du på rett spor. Gå videre for å finne ut hvordan Kippo
. Er et medium samhandling SSH honeypot designet for å logge alle brute force angrep og, viktigst, hele skallet samhandling utført av angriperen. Kippo har en falsk filsystem med evne til å legge til og fjerne filer. Så brute-force angripere vil tro at de har tilgang til riktig system og begynne å gjøre noen interaksjoner. Alle interaksjoner kan loggføres og vi kan se dem senere.
Også kan vi legge noen falske innholdet på filsystemet slik at angriperen kan se innholdet i fila. Men den har en svært gammel innholdet som lett kan gjenkjennes av angriperen. Så det er bedre å klone vår nåværende filsystemet til Kippo filsystem. Dette kan enkelt gjøres ved hjelp Kippo uten å avsløre noe viktig informasjon til angriperen. Kippo lagrer loggene i en UML kompatibelt format for enkel replay med originale timings. Det sparer filene lastet ned med wget for senere undersøkelser.
Installer Kippo På Debian /Ubuntu /Linux Mint
Dette how-to ble testet på Debian 7, selv om sames trinnene er aktuelt for Ubuntu, Linux Mint etc.
Kippo kan installeres på hvilken som helst maskin som oppfyller følgende krav Anmeldelser -. Et operativsystem (testet på Debian, CentOS, FreeBSD og Windows 7) - Python 2.5 + - Twisted 8,0 + - PyCrypto- Zope Interface Anmeldelser Derfor Kippo er Python basert, Installer noen nødvendige Python bibliotekene bruke følgende kommando. Fra nå av vil alle kommandoer utføres av root-bruker.
# apt-get install python-twistedThe kommandoen over vil installere alle nødvendige pakker som kreves av Kippo.
Sannsynligvis alle angripere vil først prøve å angripe servere via SSH standard port 22. Så la oss endre SSH port. Bruk noen tilfeldige tall, for eksempel her jeg bruker 1984.
For å gjøre det, redigere filen /etc /ssh /sshd_config, etter# nano /etc /ssh /sshd_configFind følgende linje og endre standard port nummer.
[...] Port 1 984 [...] Lagre og gå ut av filen. Restart ssh service.
# tjenesten ssh restartCreate en ikke-priviligert bruker, ex.kippo og Kippo under denne brukeren.
# adduser kippoNow logge ut og inn i ryggen til Kippo bruker.
Få siste Kippo pakken fra prosjektet nedlastingssiden
$ wget http://kippo.googlecode.com/files/kippo-0.8.tar.gzExtract tar filen ved hjelp av kommandoen:.
$ tar xzf Kippo-0.8.tar.gzThis vil skape en katalog som heter Kippo-0.8 i din nåværende katalog.
Kippo katalogen inneholder følgende innhold.
$ ls Kippo-0.8data dl doc fs.pickle honeyfs Kippo kippo.cfg kippo.tac logge start.sh txtcmds utilsWhere,
dl - filer som lastes ned med wget lagres here.log /kippo.log - log /debug output.log /tty /- session logger .utils /playlog.py - verktøyet til å spille session logs.utils /createfs.py - brukes til å lage fs.pickle.fs.pickle - falske filesystem.honeyfs /- filinnholdet for falske filsystem - gjerne kopiere et reelt system . her
Standard port av Kippo er 2222. Nå skriver du inn følgende kommando for å opprette en ny iptables regel slik at all trafikk fra SSH port 22 til Kippo port 2222.
# iptables -t nat - En PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 2222Note. Kjør kommandoen ovenfor som root-bruker og deretter bytte tilbake til Kippo bruker: Begynn Kippo
Når du ferdig med all konfigurasjon, gå til Kippo katalogen og starte den.
$ cd Kippo-0,8 /$ ./start.shStarting Kippo i bakgrunnen ... Generere RSA nøkkelpar ... done.Test Kippo honeypot
Etter å ha startet Kippo, la oss ssh til vår debian server ved hjelp av kommandoen:
$ ssh [email protected] standardpassordet for Kippo er 123456.
Sample utgang:
Ektheten av vertens 192.168. 1.200 (192.168.1.200) 'kan ikke være established.RSA Fingeravtrykket er d6: 2c: ab: 03: 4e: 61: d5: 7f: 70: 5e: 91: 78: 93: 1e: 95: 0a.Are du sikker på at du vil fortsette å koble (ja /nei)? yesWarning: Permanent lagt '192.168.1.200 "(RSA) på listen over kjente hosts.Password: NAS3: ~ # Som du ser i over resultatet, vil angriperen kunne logge inn på vår Debian server, men bare til falske filsystemet. Herfra kan han gjøre alle interaksjoner som å opprette, slette filer eller mapper. Men de vet ikke at de er logget på for å en falsk filsystem. ! Hvordan synd
Som jeg nevnte tidligere, er standard Kippo passord 123456. Det er også mulig å sette forskjellige passord
Fra Kippo katalogen, skriv følgende kommandoer:.
Kippo @ server: ~ /Kippo-0,8 $ utils /passdb.py data /pass.db legge passwordkippo @ server: ~ /Kippo-0,8 $ utils /passdb.py data /pass.db legge senthilkippo @ server: ~ /Kippo-0,8 $ utils /passdb.py data /pass.db legge unixmenWhere, etter passord, senthil og unixmen finnes alternative passord for root brukeren. Angriperen vil være i stand til å logge seg på honeypot bruke noen av ovennevnte passord med root-bruker.
Diverse
Følgende oppgaver er ikke obligatorisk. . Men hvis du ønsker å felle angriperen mer presist, gjør følgende
Endre vertsnavn:
Standard Kippo vertsnavn er NAS3. Hvis du ønsker å bruke noen virkelige navn ex. debian-server, redigere kippo.cfg fil og endre vertsnavnet.
Gå til din Kippo katalogen og redigere filen kippo.cfg, etter$ nano kippo.cfgFind følgende linje og endre vertsnavn som per som .
[...] # (standard: NAS3). hostname = debian-server [...] Når angriperen prøve å ssh serveren din, han vil bli presentert med vertsnavnet debian-server
Endre OS navn.
Gå til Kippo katalogen og redigere filen /etc /issue, etter$ nano honeyfs /etc /issueChange os navn som per din smak
Debian GNU /Linux 7.0 \\ n \\ lClone filsystem:
Som jeg nevnte tidligere, er standard Kippo filsystemet utdatert, og det kan lett gjenkjennes av angriperen. Så gå til din Kippo katalog og klone gjeldende filsystemet ved hjelp av følgende kommando med root bruker:
# utils /createfs.py > fs.pickleDoing stuffDon't glem å stoppe og starte Kippo tjenesten etter redigering konfigurasjonen. For å stoppe, den Kippo bare drepe prosessen. For å finne ut Kippo prosessen id, skriv kommandoen:
# cat kippo.pidSample utgang:
6751Now drepe den ved hjelp av kommandoen:
# kill -9 6751To start Kippo tjeneste igjen, gå til din Kippo katalogen og starte den med bruker Kippo. Som du allerede vet, ikke Kippo starter ikke med root-bruker.
$ cd Kippo-0,8 /$ ./start.shThere er flere alternativer tilgjengelige for å overvåke brute-force angriper. Gå gjennom kippo.cfg filen og justere innstillingene i henhold til dine behov. Også det er tilrådelig å holde dl katalogen i en egen katalog for å redde plassen. Du kan også bruke mysql database for å lagre loggene.
Vis logger
gjøre deg nysgjerrig hva gjorde angriperen gjør i systemet? Det er veldig enkelt. Loggene lagres i loggen mappen i Kippo katalogen
Gå til din Kippo katalogen og vise loggfilen som vist nedenfor
$ cat log /kippo.logSample utgang:..
2014-01-30 13: 10: 56 + 0530 [-] Logg opened.2014-01-30 13: 10: 56 + 0530 [-] Twistd 12.0.0 (/usr /bin /python 2.7.3) starter up.2014-01- 30 13: 10: 56 + 0530 [-] reaktor Klasse: twisted.internet.pollreactor.PollReactor.2014-01-30 13: 10: 56 + 0530 [-] HoneyPotSSHFactory starter på 22222014-01-30 13:10:56 0530 [-] Starte fabrikken < kippo.core.honeypot.HoneyPotSSHFactory eksempel på 0x89d186c > 2014-01-30 13: 11: 18 + 0530 [kippo.core.honeypot.HoneyPotSSHFactory] Ny tilkobling: 192.168.1.100:46489 ( 192.168.1.200:2222) [session: 0] 2014-01-30 13: 11: 18 + 0530 [HoneyPotTransport, 0,192.168.1.100] Remote SSH versjon: SSH-2.0-OpenSSH_6.1p1 Debian-42014-01-30 13: 11: 18 + 0530 [HoneyPotTransport, 0,192.168.1.100] kex alg, tast alg: Diffie-Hellman-GRUPPE 1-sha1 ssh-rsa2014-01-30 13: 11: 18 + 0530 [HoneyPotTransport, 0,192.168.1.100] utgående: aes128- ctr HMAC-md5 none2014-01-30 13: 11: 18 + 0530 [HoneyPotTransport, 0,192.168.1.100] innkommende: AES128-CTR HMAC-md5 none2014-01-30 13: 11: 18 + 0530 [HoneyPotTransport, 0,192.168.1.100] tilkobling lost2014-01-30 13: 11: 28 + 0530 [kippo.core.honeypot.HoneyPotSSHFactory] Ny tilkobling: 192.168.1.100:46492 (192.168.1.200:2222) [sesjon: 1] 2014-01-30 13:11 : 28 + 0530 [HoneyPotTransport, 1,192.168.1.100] Remote SSH versjon: SSH-2.0-OpenSSH_6.1p1 Debian-42014-01-30 13: 11: 28 + 0530 [HoneyPotTransport, 1,192.168.1.100] kex alg, tast alg: Diffie -hellman-GRUPPE 1-sha1 ssh-rsa2014-01-30 13: 11: 28 + 0530 [HoneyPotTransport, 1,192.168.1.100] utgående: AES128-CTR HMAC-md5 none2014-01-30 13: 11: 28 + 0530 [HoneyPotTransport, 1,192.168.1.100] innkommende: AES128-CTR HMAC-md5 none2014-01-30 13: 11: 31 + 0530 [HoneyPotTransport, 1,192.168.1.100] NEW KEYS2014-01-30 13: 11: 31 + 0530 [HoneyPotTransport, 1,192.168.1.100 ] starter tjenesten ssh-userauth2014-01-30 13: 11: 31 + 0530 [SSHService ssh-userauth på HoneyPotTransport, 1,192.168.1.100] roten prøver auth none2014-01-30 13: 11: 31 + 0530 [SSHService ssh-userauth på HoneyPotTransport, 1,192.168.1.100] roten prøver auth tastatur-interactive2014-01-30 13: 11: 42 + 0530 [SSHService ssh-userauth på HoneyPotTransport, 1,192.168.1.100] påloggingsforsøk [root /123456] lyktes [...] Konklusjon
Men Kippo har ikke hatt noen reell sikkerhet tilsynet gjort på det, og det er definitivt utsatt for noen DoS-angrep, så er det ingen grenser for hvor mange som kan koble seg til det, eller hvor mange filer de kan laste ned. Så det anbefales å kjøre Kippo i et godt brannmur Virtual Machine.
Hva vi snakket om her er bare installasjon og noen grunnleggende konfigurasjon. Bruke Kippo du kan lære hvordan angriperne prøver å angripe systemet og hva de prøver å gjøre. Senere kan du herde serverne ved hjelp av informasjon fra angripere
Lykke
Reference Links:.!
Kippo hjemmeside