Einführung
- 2085
- 528
- Phoebe Jeorga
Haben Sie das Gefühl, dass jemand versucht, auf Ihren Server zuzugreifen? Um herauszufinden, können Sie a bereitstellen Honigtopf In Ihrem System hilft Ihnen, Ihre Paranoia zu lindern, indem Sie Ihre erste Beliefe bestätigen oder abweisen. Als Beispiel können Sie den Kippo SSH Honeypot starten, mit dem Sie die Brute-Force-Versuche überwachen können, heute Exploits und Malware sammeln. Kippo zeichnet auch automatisch die Shell -Sitzung von Hacker auf, die Sie wiederholen können, um verschiedene Hacking -Techniken zu erkunden und später dieses gesammelte Wissen zu verwenden, um Ihren Produktionsserver zu härten. Ein weiterer Grund, warum Sie einen Honeypot installieren können. In diesem Tutorial zeigen wir, wie Sie einen Kippo SSH -Honeypot auf dem Ubuntu -Server bereitstellen.
Voraussetzungen
Kippo SSH Honeypot ist eine Python -basierte Anwendung. Daher müssen wir zuerst Python -Bibliotheken installieren:
$ sudo apt-get installieren Sie Python-Twisted
Normalerweise würdest du dich leiten sshd Diensthörer auf Standardport 22. Es ist sinnvoll, diesen Port für Ihren SSH -Honeypot zu verwenden. Wenn Sie den SSH -Dienst bereits ausführen, müssen wir den Standardport auf eine andere Nummer ändern. Ich würde vorschlagen, den alternativen Port 2222 nicht zu verwenden, da seine Verwendung bereits allgemein bekannt ist, und es könnte Ihre Verkleidung sabotieren. Wählen wir eine zufällige 4-stellige Zahl wie 4632. Öffnen Sie Ihre SSH/etc/ssh/sshd_config -Konfigurationsdatei und ändern Sie die Portanweisung aus:
Port 22
Zu
Port 4632
Sobald Sie neu gestartet haben, starten Sie SSHD:
$ sudo Service SSH Neustart
Sie können bestätigen, dass Sie den Port korrekt mit dem geändert haben Netstat Befehl:
$ netstat -ant | Grep 4632
TCP 0 0 0.0.0.0: 4632 0.0.0.0:* Hören Sie zu
Darüber hinaus muss Kippo einen nicht privilegierten Benutzer ausführen, daher ist es eine gute Idee, ein separates Benutzerkonto zu erstellen und Kippo unter diesem Konto auszuführen. Erstellen Sie einen neuen Benutzer Kippo:
$ sudo adduser kippo
Installation
Kippo benötigt keine mühsame Installation. Alles, was getan werden muss. Melden Sie sich zuerst als Benutzer in Kippo an und laden Sie dann den Quellcode des Kippo herunter:
kippo@ubuntu: ~ $ wget http: // kippo.googlecode.com/files/kippo-0.5.Teer.gz
extrahieren Sie es mit:
kippo@ubuntu: ~ $ tar xzf kippo-0.5.Teer.gz
Dadurch wird ein neues Verzeichnis namens Kippo-0 erstellt.5.
Aufbau
Sobald Sie in Kippos Verzeichnis navigieren, werden Sie sehen:
kippo@ubuntu: ~/kippo-0.5 $ ls
Daten dl doc fs.Gurke Honeyfs Kippo Kippo.CFG Kippo.TAC -Protokollstart.sh txtcmds utils
Die wichtigsten Verzeichnisse und Dateien hier sind:
- dl - Dies ist ein Standardverzeichnis, in dem Kippo alle Malware und Exploits, die von Hacker mit dem WGet -Befehl heruntergeladen wurden
- Honig - Dieses Verzeichnis enthält einige Dateien, die dem Angreifer vorgelegt werden
- Kippo.CFG - Kippos Konfigurationsdatei
- Protokoll - Standardverzeichnis, um Angreifer Interaktion mit der Shell zu protokollieren
- Start.Sch - Dies ist ein Shell -Skript, um Kippo zu starten
- Utils - Enthält verschiedene Kippo -Versorgungsunternehmen, aus denen am bemerkenswertesten ist.PY, mit dem Sie die Shell -Sitzung des Angreifers wiederholen können
Kippo kommt mit Port 2222 vorkonfiguriert. Dies ist hauptsächlich daran zurückzuführen. Um dieses Problem zu lösen, können wir Iptables mit "Voranweisungen" und "Umleitungsanweisungen" verwenden. Dies ist nicht die beste Lösung, da jeder Benutzer den Port über 1024 öffnen kann, wodurch eine Möglichkeit zur Nutzung erstellt wird.
Öffnen Sie die Konfigurationsdatei von Kippo und ändern Sie die Standardportnummer in eine beliebige Nummer wie 4633. Erstellen Sie danach iptables, die von Port 22 nach Kippo in Port 4633 umgeleitet werden:
$ sudo iptables -t nat -a prerouting -p tcp - -dort 22 -J Redirect -zu Port 4633
Optionale Konfigurationen
Dateisystem
Als nächstes möchten Sie möglicherweise das Dateisystem konfigurieren, der dem Angreifer nach dem Anmeldung in unserem Honeypot vorgelegt wird. Standardmäßig wird Kippo mit einem eigenen Dateisystem geliefert, aber es stammt aus dem Jahr 2009 und sieht nicht mehr plausibel aus. Sie können Ihr eigenes Dateisystem klonen, ohne Informationen mit Kippos Dienstprogramm zu enthüllen utils/createFs.py. Führen Sie mit einem Root -Berechtigungen den folgenden Linux -Befehl aus, um Ihr Dateisystem zu klonen:
# CD/HOME/KIPPO/KIPPO-0.5/
# utils/createFs.py> fs.Essiggurke
Dinge tun
Betriebssystemname
Mit Kippo können Sie außerdem den Namen des Betriebssystems in /etc /problematische Datei ändern. Nehmen wir an, wir verwenden Linux Mint 14 Julaya. Natürlich werden Sie etwas Reales und Plausibles verwenden.
$ echo "Linux Mint 14 Julaya \ n \ l"> honeyfs/etc/Ausgabe
Passwortdatei
Bearbeiten Honeyfs/etc/Passwd und machen es plausibler und saftiger.
Alternative Root -Passwörter
Kippo wird mit vorgenannten Passwort "123456" geliefert . Sie können diese Einstellung beibehalten und weitere Passwörter hinzufügen, z. B.: Pass, A, 123, Passwort, Root
kippo@ubuntu: ~/kippo-0.5 $ utils/passdb.PY -Daten/Pass.DB Pass kippo@ubuntu: ~/kippo-0.5 $ utils/passdb.PY -Daten/Pass.DB fügen Sie einen Kippo@ubuntu hinzu: ~/kippo-0.5 $ utils/passdb.PY -Daten/Pass.DB 123 Kippo@Ubuntu: ~/kippo-0.5 $ utils/passdb.PY -Daten/Pass.DB Passwort hinzufügen kippo@ubuntu: ~/kippo-0.5 $ utils/passdb.PY -Daten/Pass.DB Root hinzufügen
Jetzt kann sich der Angreifer mit einem der oben genannten Passwörter als Root anmelden.
Neue Befehle erstellen
Darüber hinaus können Sie mit Kippo zusätzliche Befehle konfigurieren, die in TXTCMDS/ Verzeichnis gespeichert sind. Zum Beispiel einen neuen Befehl erstellen df Wir leiten einfach die Ausgangsform die Realität um df Befehl an txtcmds/bin/df:
# df -h> txtcmds/bin/df
Das obige ist ein einfacher Befehl statischer Textausgabe, aber es wird einen Angreifer für einige Zeit beschäftigen.
Hostname
Bearbeiten Sie die Konfigurationsdatei Kippo.CFG und ändern Sie Ihren Hostnamen in etwas Attraktiveres wie:
Hostname = Buchhaltung
Kippo SSH Honeypot starten
Wenn Sie die obigen Anweisungen bis zu diesem Zeitpunkt befolgt haben, sollten Sie Sie inzwischen mit den folgenden Einstellungen konfiguriert haben:
- Höranschluss 4633
- Iptables Portforward von 22 -> 4633
- Hostname: Buchhaltung
- Mehrere Root -Passwörter
- Frisch auf dem neuesten Stand Honeyfs Klon Ihres vorhandenen Systems
- OS: Linux Mint 14 Julaya
Beginnen wir jetzt Kippo SSH Honeypot.
$ pwd
/home/kippo/kippo-0.5
kippo@ubuntu: ~/kippo-0.5 $ ./Start.Sch
Kippo im Hintergrund starten… RSA -Keypair erzeugen…
Erledigt.
kippo@ubuntu: ~/kippo-0.5 $ cat kippo.PID
2087
Aus dem obigen Punkt können Sie sehen, dass Kippo gestartet wurde und alle notwendigen RSA -Schlüsseln für die SSH -Kommunikation geschaffen hat. Darüber hinaus wurden auch eine Datei namens Kippo erstellt.PID, die eine PID -Anzahl der laufenden Instanz von Kippo enthalten, mit der Sie Kippo mit dem beenden können töten Befehl.
Testen der SSH -Honeypot -Bereitstellung
Jetzt sollten wir uns in der Lage sein, uns bei Standard SSH Port 22 bei unserem neuen SSH Server alias SSH Honeypot anzumelden:
$ ssh root@server
Die Authentizität des Host -Servers (10.1.1.61) 'kann nicht festgelegt werden.
RSA Key Fingerabdruck ist 81: 51: 31: 8C: 21: 2E: 41: DC: E8: 34: D7: 94: 47: 35: 8f: 88.
Sind Sie sicher, dass Sie sich weiter verbinden möchten (Ja/Nein)? Ja
WARNUNG: Permanent hinzugefügt 'Server, 10.1.1.61 '(RSA) in die Liste der bekannten Hosts.
Passwort:
Accounting: ~# Accounting: ~# CD / Accounting: /# ls var sbin home srv usr mnt selinux tmp vmlinuz initrd.IMG usw. root dev sys verloren+gefunden proc boot opt run media lib64 bin lib Accounting:/# cat/etc/Ausgabe Linux Mint 14 Julaya \ n \ l
Kommt mir bekannt vor? Wir sind fertig
Zusatzfunktionen
Kippo verfügt über mehrere andere Optionen und Einstellungen. Eine davon ist die Verwendung von Utils/Playlogs.PY -Dienstprogramm zur Wiederholung von Shell -Interaktionen des Angreifers in log/ tty/ Verzeichnis gespeichert. Darüber hinaus ermöglicht Kippo, dass Protokolldateien von der MySQL -Datenbank gespeichert werden. Weitere Einstellungen finden Sie in der Konfigurationsdatei.
Abschluss
Eine Sache, die erwähnt werden muss, ist, dass es ratsam ist, das DL -Verzeichnis des KIPPS mit einem separaten Dateisystem zu konfigurieren. In diesem Verzeichnis werden alle Dateien vom Angreifer heruntergeladen, sodass Sie nicht möchten, dass Ihre Anwendungen aufgrund eines Festplattenraums hängen.
Kippo scheint eine schöne und leicht zu konfigurierte SSH -Honeypot -Alternative zu voll ausschruselenden Honeypot -Umgebungen zu sein. Kippo hat mehr Funktionen zu bieten als die in diesem Leitfaden beschriebenen Funktionen. Bitte lesen Sie Kippo.CFG, um sich mit ihnen vertraut zu machen und die Einstellungen von Kippo an Ihre Umgebung anzupassen.
Verwandte Linux -Tutorials:
- Liste der besten Kali -Linux -Tools für Penetrationstests und…
- Eine Einführung in Linux -Automatisierung, Tools und Techniken
- Dinge zu tun nach der Installation Ubuntu 20.04 fokale Fossa Linux
- Dinge zu installieren auf Ubuntu 20.04
- Verhärtung von Kali Linux
- Dinge zu tun nach der Installation Ubuntu 22.04 Jammy Quallen…
- Dinge zu installieren auf Ubuntu 22.04
- So verwenden Sie ADB Android Debugg Bridge, um Ihr Android zu verwalten…
- So suchen Sie nach zusätzlichen Hacking -Tools auf Kali
- Linux -Download
- « Installation des Spotify-Clients unter Debian Linux 8 (Jessie) 64-Bit
- Einrichten von Django, Python und MySQL Development Envelopment -Umgebung auf Debian Linux 8 Jessie »