Ubuntu

Bereitstellung von Kippo SSH Honeypot unter Ubuntu Linux

Bereitstellung von Kippo SSH Honeypot unter Ubuntu Linux

Einführung

Haben Sie das Gefühl, dass jemand versucht, auf Ihren Server zuzugreifen? Um herauszufinden, können Sie a bereitstellen Honigtopf In Ihrem System hilft Ihnen, Ihre Paranoia zu lindern, indem Sie Ihre erste Beliefe bestätigen oder abweisen. Als Beispiel können Sie den Kippo SSH Honeypot starten, mit dem Sie die Brute-Force-Versuche überwachen können, heute Exploits und Malware sammeln. Kippo zeichnet auch automatisch die Shell -Sitzung von Hacker auf, die Sie wiederholen können, um verschiedene Hacking -Techniken zu erkunden und später dieses gesammelte Wissen zu verwenden, um Ihren Produktionsserver zu härten. Ein weiterer Grund, warum Sie einen Honeypot installieren können. In diesem Tutorial zeigen wir, wie Sie einen Kippo SSH -Honeypot auf dem Ubuntu -Server bereitstellen.

Voraussetzungen

Kippo SSH Honeypot ist eine Python -basierte Anwendung. Daher müssen wir zuerst Python -Bibliotheken installieren:

$ sudo apt-get installieren Sie Python-Twisted

Normalerweise würdest du dich leiten sshd Diensthörer auf Standardport 22. Es ist sinnvoll, diesen Port für Ihren SSH -Honeypot zu verwenden. Wenn Sie den SSH -Dienst bereits ausführen, müssen wir den Standardport auf eine andere Nummer ändern. Ich würde vorschlagen, den alternativen Port 2222 nicht zu verwenden, da seine Verwendung bereits allgemein bekannt ist, und es könnte Ihre Verkleidung sabotieren. Wählen wir eine zufällige 4-stellige Zahl wie 4632. Öffnen Sie Ihre SSH/etc/ssh/sshd_config -Konfigurationsdatei und ändern Sie die Portanweisung aus:

Port 22

Zu

Port 4632

Sobald Sie neu gestartet haben, starten Sie SSHD:

$ sudo Service SSH Neustart

Sie können bestätigen, dass Sie den Port korrekt mit dem geändert haben Netstat Befehl:

$ netstat -ant | Grep 4632
TCP 0 0 0.0.0.0: 4632 0.0.0.0:* Hören Sie zu

Darüber hinaus muss Kippo einen nicht privilegierten Benutzer ausführen, daher ist es eine gute Idee, ein separates Benutzerkonto zu erstellen und Kippo unter diesem Konto auszuführen. Erstellen Sie einen neuen Benutzer Kippo:

$ sudo adduser kippo

Installation

Kippo benötigt keine mühsame Installation. Alles, was getan werden muss. Melden Sie sich zuerst als Benutzer in Kippo an und laden Sie dann den Quellcode des Kippo herunter:

kippo@ubuntu: ~ $ wget http: // kippo.googlecode.com/files/kippo-0.5.Teer.gz

extrahieren Sie es mit:

kippo@ubuntu: ~ $ tar xzf kippo-0.5.Teer.gz 

Dadurch wird ein neues Verzeichnis namens Kippo-0 erstellt.5.

Aufbau

Sobald Sie in Kippos Verzeichnis navigieren, werden Sie sehen:

kippo@ubuntu: ~/kippo-0.5 $ ls
Daten dl doc fs.Gurke Honeyfs Kippo Kippo.CFG Kippo.TAC -Protokollstart.sh txtcmds utils

Die wichtigsten Verzeichnisse und Dateien hier sind:

Kippo kommt mit Port 2222 vorkonfiguriert. Dies liegt hauptsächlich daran. Um dieses Problem zu lösen, können wir Iptables mit "Voranweisungen" und "Umleitungsanweisungen" verwenden. Dies ist nicht die beste Lösung, da jeder Benutzer den Port über 1024 öffnen kann, wodurch eine Möglichkeit zur Nutzung erstellt wird.

Öffnen Sie die Konfigurationsdatei von Kippo und ändern Sie die Standardportnummer in eine beliebige Nummer wie 4633. Erstellen Sie danach iptables, die von Port 22 nach Kippo in Port 4633 umgeleitet werden:

$ sudo iptables -t nat -a prerouting -p tcp - -dort 22 -J Redirect -zu Port 4633

Optionale Konfigurationen

Dateisystem

Als nächstes möchten Sie möglicherweise das Dateisystem konfigurieren, der dem Angreifer nach dem Anmeldung in unserem Honeypot vorgelegt wird. Standardmäßig wird Kippo mit einem eigenen Dateisystem geliefert, aber es stammt aus dem Jahr 2009 und sieht nicht mehr plausibel aus. Sie können Ihr eigenes Dateisystem klonen, ohne Informationen mit Kippos Dienstprogramm zu enthüllen utils/createFs.py. Führen Sie mit einem Root -Berechtigungen den folgenden Linux -Befehl aus, um Ihr Dateisystem zu klonen:

# CD/HOME/KIPPO/KIPPO-0.5/
# utils/createFs.py> fs.Essiggurke
Dinge tun

Betriebssystemname

Mit Kippo können Sie außerdem den Namen des Betriebssystems in /etc /problematische Datei ändern. Nehmen wir an, wir verwenden Linux Mint 14 Julaya. Natürlich werden Sie etwas Reales und Plausibles verwenden.

$ echo "Linux Mint 14 Julaya \ n \ l"> honeyfs/etc/Ausgabe

Passwortdatei

Bearbeiten Honeyfs/etc/Passwd und machen es plausibler und saftiger.

Alternative Root -Passwörter

Kippo wird mit vorgenannten Passwort "123456" geliefert . Sie können diese Einstellung beibehalten und weitere Passwörter hinzufügen, z. B.: Pass, A, 123, Passwort, Root

kippo@ubuntu: ~/kippo-0.5 $ utils/passdb.PY -Daten/Pass.DB Pass kippo@ubuntu: ~/kippo-0.5 $ utils/passdb.PY -Daten/Pass.DB fügen Sie einen Kippo@ubuntu hinzu: ~/kippo-0.5 $ utils/passdb.PY -Daten/Pass.DB 123 Kippo@Ubuntu: ~/kippo-0.5 $ utils/passdb.PY -Daten/Pass.DB Passwort hinzufügen kippo@ubuntu: ~/kippo-0.5 $ utils/passdb.PY -Daten/Pass.DB Root hinzufügen

Jetzt kann sich der Angreifer mit einem der oben genannten Passwörter als Root anmelden.

Neue Befehle erstellen

Darüber hinaus können Sie mit Kippo zusätzliche Befehle konfigurieren, die in TXTCMDS/ Verzeichnis gespeichert sind. Zum Beispiel einen neuen Befehl erstellen df Wir leiten einfach die Ausgangsform die Realität um df Befehl an txtcmds/bin/df:

# df -h> txtcmds/bin/df 

Das obige ist ein einfacher Befehl statischer Textausgabe, aber es wird einen Angreifer für einige Zeit beschäftigen.

Hostname

Bearbeiten Sie die Konfigurationsdatei Kippo.CFG und ändern Sie Ihren Hostnamen in etwas Attraktiveres wie:

Hostname = Buchhaltung

Kippo SSH Honeypot starten

Wenn Sie die obigen Anweisungen bis zu diesem Zeitpunkt befolgt haben, sollten Sie Sie inzwischen mit den folgenden Einstellungen konfiguriert haben:

Beginnen wir jetzt Kippo SSH Honeypot.

$ pwd
/home/kippo/kippo-0.5
kippo@ubuntu: ~/kippo-0.5 $ ./Start.Sch
Kippo im Hintergrund starten… RSA -Keypair erzeugen…
Erledigt.
kippo@ubuntu: ~/kippo-0.5 $ cat kippo.PID
2087

Aus dem obigen Punkt können Sie sehen, dass Kippo gestartet wurde und alle notwendigen RSA -Schlüsseln für die SSH -Kommunikation geschaffen hat. Darüber hinaus wurden auch eine Datei namens Kippo erstellt.PID, die eine PID -Anzahl der laufenden Instanz von Kippo enthalten, mit der Sie Kippo mit dem beenden können töten Befehl.

Testen der SSH -Honeypot -Bereitstellung

Jetzt sollten wir uns in der Lage sein, uns bei Standard SSH Port 22 bei unserem neuen SSH Server alias SSH Honeypot anzumelden:

$ ssh root@server
Die Authentizität des Host -Servers (10.1.1.61) 'kann nicht festgelegt werden.
RSA Key Fingerabdruck ist 81: 51: 31: 8C: 21: 2E: 41: DC: E8: 34: D7: 94: 47: 35: 8f: 88.
Sind Sie sicher, dass Sie sich weiter verbinden möchten (Ja/Nein)? Ja
WARNUNG: Permanent hinzugefügt 'Server, 10.1.1.61 '(RSA) in die Liste der bekannten Hosts.
Passwort:
Accounting: ~# Accounting: ~# CD / Accounting: /# ls var sbin home srv usr mnt selinux tmp vmlinuz initrd.IMG usw. root dev sys verloren+gefunden proc boot opt ​​run media lib64 bin lib Accounting:/# cat/etc/Ausgabe Linux Mint 14 Julaya \ n \ l

Kommt mir bekannt vor? Wir sind fertig

Zusatzfunktionen

Kippo verfügt über mehrere andere Optionen und Einstellungen. Eine davon ist die Verwendung von Utils/Playlogs.PY -Dienstprogramm zur Wiederholung von Shell -Interaktionen des Angreifers in log/ tty/ Verzeichnis gespeichert. Darüber hinaus ermöglicht Kippo, dass Protokolldateien von der MySQL -Datenbank gespeichert werden. Weitere Einstellungen finden Sie in der Konfigurationsdatei.

Abschluss

Eine Sache, die erwähnt werden muss, ist, dass es ratsam ist, das DL -Verzeichnis des KIPPS mit einem separaten Dateisystem zu konfigurieren. In diesem Verzeichnis werden alle Dateien vom Angreifer heruntergeladen, sodass Sie nicht möchten, dass Ihre Anwendungen aufgrund eines Festplattenraums hängen.

Kippo scheint eine schöne und leicht zu konfigurierte SSH -Honeypot -Alternative zu voll ausschruselenden Honeypot -Umgebungen zu sein. Kippo hat mehr Funktionen zu bieten als die in diesem Leitfaden beschriebenen Funktionen. Bitte lesen Sie Kippo.CFG, um sich mit ihnen vertraut zu machen und die Einstellungen von Kippo an Ihre Umgebung anzupassen.

So spielen Sie das WMV -Format auf Linux alias Video -Codec nicht verfügbar
Vor kurzem habe ich versucht, eine WMV -Datei (Microsoft ASF) mit VLC zu öffnen. VLC konnte einen Video -Stream nicht öffnen, also habe ich ein paar w...
Datum Manipulation mit Yest
yest ist ein großartiges Tool, mit dem Benutzer einige komplexe Datumsmanipulationen durchführen können, indem AB einfach zu verstehen. Es ist kein Ko...
WWW -Mechanize - Top 101 Autorisierung erforderlich
Hier ist ein kleines Skript, wie man sich bei a anmeldet .HTaccess -geschützte Seite. Nehmen wir an, dass die URL wir uns anmelden wollen http () // w...