Wstęp

Wstęp

Czy uważasz, że ktoś próbuje uzyskać dostęp do twojego serwera? Aby się dowiedzieć, możesz wdrożyć garnek miodu w systemie, aby pomóc Ci złagodzić paranoję, potwierdzając lub odrzucając początkowe przekonanie. Jako przykład możesz uruchomić kippo ssh honeypot, który pozwala monitorować próby brutalnej siły, zbierać dziś exploits i złośliwe oprogramowanie. Kippo automatycznie rejestruje również sesję powłoki hakera, którą można odtworzyć, aby zbadać różne techniki hakerskie, a następnie wykorzystać tę zebraną wiedzę, aby utwardzić Twój serwer produkcyjny. Innym powodem, dla którego zainstalowanie honeypot jest zwrócenie uwagi od serwera produkcyjnego. W tym samouczku pokażemy, jak wdrożyć honeypot Kippo SSH na serwerze Ubuntu.

Wymagania wstępne

Kippo SSH Honeypot to aplikacja oparta na Python. Dlatego musimy najpierw zainstalować biblioteki Python:

$ sudo apt-get instal instaluj Python-twited

Zwykle byś cię uruchomił Sshd Słuchanie usługi na domyślnym porcie 22. Sensowne jest użycie tego portu dla swojego SSH Honeypot, a zatem jeśli już uruchomisz usługę SSH, musimy zmienić dom domyślny na inny numer. Sugerowałbym, aby nie używać alternatywnego portu 2222, ponieważ jego użycie jest już ogólnie znane i może sabotować twoje przebranie. Wybierzmy losową 4-cyfrową liczbę, taką jak 4632. Otwórz swój plik konfiguracyjny SSH/ETC/SSH/SSHD_CONFIG i zmień dyrektywę portu z:

Port 22

Do

Port 4632

Po uruchomie

$ sudo service ssh restart

Możesz potwierdzić, że poprawnie zmieniłeś port za pomocą Netstat Komenda:

$ netstat -ant | GREP 4632
TCP 0 0 0.0.0.0: 4632 0.0.0.0:* Słuchaj

Ponadto Kippo musi uruchomić niewidzianego użytkownika, więc dobrym pomysłem jest utworzenie oddzielnego konta użytkownika i uruchomienie Kippo w ramach tego konta. Utwórz nowego użytkownika Kippo:

$ sudo adduser kippo

Instalacja

Kippo nie wymaga żadnej żmudnej instalacji. Wszystko, co należy zrobić, to pobrać gziped tarball i wyodrębnić go do katalogu Kippo. Najpierw zaloguj się jako lub zmień użytkownika na Kippo, a następnie pobierz kod źródłowy Kippo:

kippo@ubuntu: ~ $ wget http: // kippo.GOOGLECODE.com/files/kippo-0.5.smoła.GZ

Wyodrębnij go z:

kippo@ubuntu: ~ $ TAR xzf Kippo-0.5.smoła.GZ 

To stworzy nowy katalog o nazwie Kippo-0.5.

Konfiguracja

Po przejściu do katalogu Kippo zobaczysz:

kippo@ubuntu: ~/kippo-0.5 $ ls
dane DL Doc fs.marynat honeyfs kippo kippo.Cfg Kippo.TAC LOG START.SH TXTCMDS UTILS

Najbardziej znaczące katalogi i pliki to:

  • dl - Jest to domyślny katalog, gdy Kippo będzie przechowywać wszystkie złośliwe oprogramowanie i exploits pobrane przez Hackera za pomocą polecenia WGET
  • Honeyfs - Ten katalog zawiera niektóre pliki, które zostaną przedstawione atakującemu
  • Kippo.CFG - Plik konfiguracyjny Kippo
  • dziennik - Directory domyślne w celu rejestrowania interakcji z powłoką
  • początek.cii - To jest skrypt powłoki na uruchomienie kippo
  • Utils - zawiera różne narzędzia Kippo, z których najbardziej godne uwagi jest odtwarzanie.PY, który pozwala odtworzyć sesję napastnika

Kippo jest wstępnie skonfigurowany z portem 2222. Wynika to głównie z faktu, że Kippo musi działać, ponieważ użytkownik bez uprzywilejowania i użytkownik niepewny nie jest w stanie otwierać żadnych portów, które są poniżej numeru 1024. Aby rozwiązać ten problem, możemy użyć IPTables z dyrektywami „Prerouting” i „Przekierowanie”. To nie jest najlepsze rozwiązanie, ponieważ każdy użytkownik może otworzyć port powyżej 1024.

Otwórz plik konfiguracyjny Kippo i zmień domyślny numer portu na jakąś dowolną liczbę, takich jak, 4633. Następnie utwórz przekierowanie iptables z portu 22 do Kippo na porcie 4633:

$ sudo iptables -t Nat -a prrouting -p tcp - -dport 22 -J przekierowanie -do portu 4633

Opcjonalne konfiguracje

System plików

Następnie możesz skonfigurować system plików, który zostanie przedstawiony atakującemu po zalogowaniu się do naszego Honeypot. Domyślnie Kippo jest wyposażony w swój własny system plików, ale sięga 2009 roku i nie wygląda już prawdopodobne. Możesz sklonować własny system plików bez ujawnienia żadnych informacji za pomocą narzędzia Kippo Utils/createfs.py. Z uprawnieniami root wykonaj następujące polecenie Linux, aby sklonować system plików:

# cd/home/kippo/kippo-0.5/
# utils/createfs.py> fs.marynata
Robi coś

Nazwa systemu operacyjnego

Kippo pozwala również zmienić nazwę systemu operacyjnego znajdującą się w pliku /etc /. Powiedzmy, że używamy Linux Mint 14 Julaya. Oczywiście, że użyjesz czegoś prawdziwego i prawdopodobnego.

$ echo "Linux Mint 14 Julaya \ n \ l"> honeyfs/itp

Plik hasła

Edytować Honeyfs/itp./Passwd i spraw, aby było to bardziej prawdopodobne i soczyste.

Alternatywne hasła roota

Kippo jest wyposażone w preonfikowane hasło „123456” . Możesz zachować to ustawienie i dodać więcej haseł, takich jak: Pass, A, 123, hasło, root

kippo@ubuntu: ~/kippo-0.5 $ UTILS/PASSDB.PY Data/Pass.db Dodaj pass kippo@ubuntu: ~/kippo-0.5 $ UTILS/PASSDB.PY Data/Pass.DB Dodaj kippo@ubuntu: ~/kippo-0.5 $ UTILS/PASSDB.PY Data/Pass.DB Dodaj 123 kippo@ubuntu: ~/kippo-0.5 $ UTILS/PASSDB.PY Data/Pass.DB Dodaj hasło kippo@ubuntu: ~/kippo-0.5 $ UTILS/PASSDB.PY Data/Pass.DB Dodaj root

Teraz atakujący będzie mógł się zalogować jako root z dowolnym z powyższych haseł.

Tworzenie nowych poleceń

Ponadto Kippo umożliwia skonfigurowanie dodatkowych poleceń, które są przechowywane w TXTCMDS/ Directory. Na przykład, aby utworzyć nowe polecenie df po prostu przekierowujemy formę wyjściową prawdziwą df polecenie TXTCMDS/BIN/DF:

# df -h> txtcmds/bin/df 

Powyższe jest proste statyczne polecenie tekstu, ale przez pewien czas utrzyma atakującego.

Nazwa hosta

Edytuj plik konfiguracyjny kippo.CFG i zmień nazwę hosta na coś bardziej atrakcyjnego jak:

nazwa hosta = rachunkowość

Rozpoczynając Kippo SSH Honeypot

Jeśli do tej pory postępowałeś zgodnie z powyższymi instrukcjami, powinieneś skonfigurować swój honeypot SSH z następującymi ustawieniami:

  • Port słuchający 4633
  • IPTABLES PortForward od 22 -> 4633
  • Nazwa hosta: rachunkowość
  • wiele haseł root
  • Świeżo zaktualizowane miodne klon twojego istniejącego systemu
  • OS: Linux Mint 14 Julaya

Zacznijmy teraz Kippo Ssh Honeypot.

$ pwd
/home/kippo/kippo-0.5
kippo@ubuntu: ~/kippo-0.5 $ ./początek.cii
Rozpoczynając Kippo w tle… generowanie klawiatury RSA…
zrobione.
kippo@ubuntu: ~/kippo-0.5 $ CAT KIPO.pid
2087

Z powyższego widać, że Kippo zaczął się i że stworzył wszystkie niezbędne klucze RSA dla komunikacji SSH. Ponadto utworzył również plik o nazwie Kippo.PID, który zawiera liczbę PID z bieżącej instancji Kippo, której można użyć do zakończenia Kippo z zabić Komenda.

Testowanie wdrożenia ssh honeypot

Teraz powinniśmy być w stanie zalogować się do naszego nowego serwera SSH alias SSH Honeypot na domyślnym porcie SSH 22:

$ ssh root@serwer
Autentyczność serwera hosta (10.1.1.61) „Nie można ustalić.
Kluczowy odcisk palca RSA to 81: 51: 31: 8c: 21: 2e: 41: DC: E8: 34: D7: 94: 47: 35: 8f: 88.
Czy na pewno chcesz kontynuować łączenie (tak/nie)? Tak
OSTRZEŻENIE: na stałe dodane „serwer, 10.1.1.61 '(RSA) do listy znanych gospodarzy.
Hasło:
Rachunkowość: ~# rachunkowość: ~# cd / rachunkowość: /# ls var sbin home srv usr mnt selinux tmp vmlinuz initrd.IMG ETC ROOT Dev Syss Lost+Found Proc opt Run Media Lib64 Bin Lib Rachunkowość:/# cat/etc/emiser Linux Mint 14 Julaya \ n \ l

Wygląda znajomo? Skończyliśmy

Dodatkowe funkcje

Kippo ma wiele innych opcji i ustawień. Jednym z nich jest użycie utils/odtwarzania.PY narzędzie do odtwarzania interakcji powłoki atakującego przechowywane w katalogu log/ tty/. Ponadto Kippo pozwala przechowywać pliki dziennika przez bazę danych MySQL. Dodatkowe ustawienia zobacz plik konfiguracyjny.

Wniosek

Jedną rzeczą, o której należy wspomnieć, że wskazane jest skonfigurowanie katalogu DL KIPPS na oddzielnym systemie plików. Ten katalog pomieści wszystkie pliki do pobrania przez atakującego, więc nie chcesz, aby Twoje aplikacje zawieszały się z powodu braku miejsca na dysku.

Kippo wydaje się być miłym i łatwym do skonfigurowania SSH Honeypot Alternative to Full Chrooted Honeypot Environments. Kippo ma więcej funkcji do zaoferowania niż te opisane w tym przewodniku. Przeczytaj Kippo.CFG, aby zapoznać się z nimi i dostosować ustawienia Kippo, aby pasowały do ​​twojego środowiska.

Powiązane samouczki Linux:

  • Lista najlepszych narzędzi Kali Linux do testowania penetracji i…
  • Wprowadzenie do automatyzacji, narzędzi i technik Linuksa
  • Rzeczy do zrobienia po zainstalowaniu Ubuntu 20.04 Focal Fossa Linux
  • Rzeczy do zainstalowania na Ubuntu 20.04
  • Hartowanie Kali Linux
  • Rzeczy do zrobienia po zainstalowaniu Ubuntu 22.04 JAMMY Jellyfish…
  • Rzeczy do zainstalowania na Ubuntu 22.04
  • Jak korzystać z ADB Android Debug Bridge do zarządzania Androidem…
  • Jak wyszukać dodatkowe narzędzia hakerskie na Kali
  • Pobierz Linux