Kippo SSH Honeypot

From ICO wiki
Jump to navigationJump to search

Sissejuhatus

Install

Jälgida, mis kasutajas käske sisestatakse!

Vajalike pakkide install [1]:

# apt-get update && apt-get install python-twisted

Esimesel katsel proovivad ründajad port 22, seega tuleb konfiguratsioonis teha kerged muudatused. [1]

# nano /etc/ssh/ssh_config

Konfiguratsioonis muuta port 22 näiteks 2222. Salvestada muudatus ja lahkuda failist.[1]

Host *
...
#   Port 2222

Muudatuste toimimiseks taaskäivitada teenus. [1]

# service ssh restart

Lisada uus kasutaja kippo ja logida sisse loodud kasutajana. [1]

# adduser kippo

Installida uusim Kippo pakk (https://github.com/desaster/kippo) [1]

$ wget http://kippo.googlecode.com/files/kippo-0.8.tar.gz

Allalaetud pakk lahti pakkida. [1]

$ tar xzf kippo-0.8.tar.gz

Lahti pakkimisel luuakse kataloog kippo-0.8, [1]

$ ls kippo-0.8 LABOR

mille sees on: [1]

data  dl  doc  fs.pickle  honeyfs  kippo  kippo.cfg  kippo.tac    log  start.sh  txtcmds    utils

dl – failid mis laeti alla wget-iga.
log/kippo.log – log/debug väljund.
log/tty/ – sessioni logid.
utils/playlog.py – utiliidid, et vastata sessiooni logidele.
utils/createfs.py – vajalik fs.pickle loomiseks.
fs.pickle – võlts failisüsteem.
honeyfs/ – kataloog, mis hoiab endast võlts faile.

Järgnevat käsku sisestada juurkasutajas. Vaikimisi on Kippo port 2222, käsuga suunatakse SSH 22 liiklus Kippo 2222 porti. [1]

# iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port <enda pordi nr.> 

Start Kippo




Kasutatud kirjandus

[1] http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-attacks-debian-7-ubuntu-13-10/