Perkenalan
- 4656
- 978
- Dwayne Hackett
Apakah Anda merasa seseorang berusaha mengakses server Anda? Untuk mengetahuinya, Anda dapat menggunakan a wadah madu Dalam sistem Anda untuk membantu Anda meringankan paranoia Anda dengan mengkonfirmasi atau mengabaikan kepercayaan awal Anda. Sebagai contoh, Anda dapat memulai Honeypot Kippo SSH, yang memungkinkan Anda untuk memantau upaya-upaya brute-force, mengumpulkan eksploitasi dan malware hari ini. Kippo juga secara otomatis merekam sesi shell Hacker, yang dapat Anda ulang untuk mengeksplorasi berbagai teknik peretasan dan kemudian menggunakan pengetahuan yang dikumpulkan ini untuk mengeraskan server produksi Anda. Alasan lain mengapa menginstal honeypot adalah untuk mengambil perhatian dari server produksi Anda. Dalam tutorial ini kami akan menunjukkan cara menggunakan honeypot kippo ssh di server ubuntu.
Prasyarat
Kippo ssh honeypot adalah aplikasi berbasis python. Karena itu, kita perlu menginstal pustaka Python terlebih dahulu:
$ sudo apt-get menginstal python-twisted
Biasanya Anda akan menjalankan Anda sshd Layanan Mendengarkan di Port Default 22. Masuk akal untuk menggunakan port ini untuk honeypot ssh Anda dan dengan demikian jika Anda sudah menjalankan layanan ssh, kami perlu mengubah port default ke beberapa nomor lainnya. Saya akan menyarankan untuk tidak menggunakan port alternatif 2222 karena penggunaannya sudah umumnya diketahui dan dapat menyabotase penyamaran Anda. Mari kita pilih beberapa nomor 4 digit acak seperti 4632. Buka file konfigurasi ssh/etc/ssh/sshd_config Anda dan ubah arahan port dari:
Port 22
ke
Port 4632
Setelah selesai restart Anda sshd:
$ sudo service ssh restart
Anda dapat mengonfirmasi bahwa Anda telah mengubah port dengan benar dengan netstat memerintah:
$ netstat -ant | GREP 4632
TCP 0 0 0.0.0.0: 4632 0.0.0.0:* Dengar
Selain itu, kippo perlu menjalankan pengguna yang tidak istimewa sehingga merupakan ide yang baik untuk membuat beberapa akun pengguna yang terpisah dan menjalankan KIPPO di bawah akun ini. Buat pengguna baru kippo:
$ sudo adduser kippo
Instalasi
Kippo tidak memerlukan instalasi yang membosankan. Semua yang perlu dilakukan adalah mengunduh tarball gziped dan mengekstraknya ke dalam direktori kippo. Pertama, login sebagai atau ubah pengguna ke kippo dan kemudian unduh kode sumber KIPPO:
kippo@ubuntu: ~ $ wget http: // kippo.GoogleCode.com/file/kippo-0.5.ter.GZ
Ekstrak dengan:
kippo@ubuntu: ~ $ tar xzf kippo-0.5.ter.GZ
Ini akan membuat direktori baru yang disebut KIPPO-0.5.
Konfigurasi
Setelah Anda menavigasi ke direktori Kippo, Anda akan melihat:
kippo@ubuntu: ~/kippo-0.5 $ ls
Data DL DOC FS.acar honeyfs kippo kippo.CFG Kippo.TAC Log Start.shtcmds utils
Direktori dan file yang paling terkenal di sini adalah:
- dl - Ini adalah direktori default ketika kippo akan menyimpan semua malware dan eksploitasi yang diunduh oleh peretas menggunakan perintah wget
- Honeyfs - Direktori ini mencakup beberapa file, yang akan disajikan kepada penyerang
- kippo.CFG - File Konfigurasi Kippo
- catatan - Direktori default untuk mencatat interaksi penyerang dengan shell
- awal.SH - Ini adalah skrip shell untuk memulai kippo
- utils - Berisi berbagai utilitas kippo yang paling terkenal adalah playlog.py, yang memungkinkan Anda untuk memutar ulang sesi shell penyerang
Kippo datang pra-konfigurasi dengan port 2222. Ini terutama karena kippo perlu dijalankan sebagai pengguna non-privilege dan pengguna yang tidak istimewa tidak dapat membuka port apa pun, yang di bawah nomor 1024. Untuk menyelesaikan masalah ini, kita dapat menggunakan ptables dengan arahan "prerouting" dan "redirect". Ini bukan solusi terbaik karena pengguna mana pun dapat membuka port di atas 1024 sehingga menciptakan peluang untuk dieksploitasi.
Buka file konfigurasi KIPPO dan ubah nomor port default ke beberapa nomor sewenang -wenang seperti, 4633. Setelah ini, buat IPLABLES RERIRECT dari Port 22 ke Kippo di Port 4633:
$ sudo ptables -t nat -a prerouting -p tcp --dport 22 -j Redirect -to -port 4633
Konfigurasi opsional
Berkas sistem
Selanjutnya, Anda mungkin ingin mengkonfigurasi sistem file, yang akan disajikan kepada penyerang setelah masuk ke honeypot kami. Secara default, Kippo hadir dengan sistem file sendiri tetapi tanggal kembali ke tahun 2009 dan tidak terlihat masuk akal lagi. Anda dapat mengkloning sistem file Anda sendiri tanpa mengungkapkan informasi apa pun dengan utilitas Kippo utils/createFs.py. Dengan hak istimewa root, jalankan perintah Linux berikut untuk mengkloning sistem file Anda:
# CD/HOME/KIPPO/KIPPO-0.5/
# utils/createFs.py> fs.acar
Melakukan hal -hal
Nama Sistem Operasi
Kippo juga memungkinkan Anda untuk mengubah nama sistem operasi yang terletak di /etc /edisi file. Katakanlah kami menggunakan Linux Mint 14 Julaya. Tentu saja Anda akan menggunakan sesuatu yang nyata dan masuk akal.
$ echo "linux mint 14 julaya \ n \ l"> honeyfs/etc/edisi
File kata sandi
Edit honeyfs/etc/passwd dan membuatnya lebih masuk akal dan berair.
Kata sandi root alternatif
Kippo dilengkapi dengan kata sandi yang telah dikembangkan "123456" . Anda dapat menyimpan pengaturan ini dan menambahkan lebih banyak kata sandi seperti: lulus, a, 123, kata sandi, root
kippo@ubuntu: ~/kippo-0.5 $ utils/passdb.PY Data/Pass.DB Tambahkan pass kippo@ubuntu: ~/kippo-0.5 $ utils/passdb.PY Data/Pass.DB Tambahkan kippo@ubuntu: ~/kippo-0.5 $ utils/passdb.PY Data/Pass.DB Tambahkan 123 kippo@ubuntu: ~/kippo-0.5 $ utils/passdb.PY Data/Pass.DB Tambahkan kata sandi kippo@ubuntu: ~/kippo-0.5 $ utils/passdb.PY Data/Pass.db tambahkan root
Sekarang penyerang akan dapat masuk dengan root dengan salah satu kata sandi di atas.
Membuat perintah baru
Selain itu, kippo memungkinkan Anda untuk mengkonfigurasi perintah tambahan yang disimpan dalam txtcmds/ direktori. Untuk membuat perintah baru, misalnya df Kami hanya mengarahkan ulang output dari yang nyata df Perintah ke txtcmds/bin/df:
# df -h> txtcmds/bin/df
Di atas adalah perintah output teks statis sederhana tetapi akan membuat penyerang sibuk selama beberapa waktu.
Nama host
Edit file konfigurasi kippo.CFG dan ubah nama host Anda menjadi sesuatu yang lebih menarik seperti:
HostName = Akuntansi
Memulai kippo ssh honeypot
Jika Anda mengikuti instruksi di atas hingga titik ini, sekarang Anda harus mengkonfigurasi Anda SSH Honeypot dengan pengaturan berikut:
- Port Mendengarkan 4633
- ptables portforward dari 22 -> 4633
- Nama host: Akuntansi
- Beberapa kata sandi root
- klon honeyfs madu yang baru dari sistem Anda yang ada
- OS: Linux Mint 14 Julaya
Mari kita mulai kippo ssh honeypot sekarang.
$ pwd
/home/kippo/kippo-0.5
kippo@ubuntu: ~/kippo-0.5 $ ./awal.SH
Memulai kippo di latar belakang… menghasilkan keypair RSA…
Selesai.
kippo@ubuntu: ~/kippo-0.5 $ kucing kippo.pid
2087
Dari atas, Anda dapat melihat bahwa kippo dimulai dan bahwa itu menciptakan semua kunci RSA yang diperlukan untuk komunikasi ssh. Selain itu, itu juga membuat file yang disebut kippo.PID, yang berisi jumlah PID dari instance berjalan kippo, yang dapat Anda gunakan untuk mengakhiri kippo dengan membunuh memerintah.
Menguji penyebaran honeypot ssh
Sekarang, kita harus dapat masuk ke SSH Server SSH Alias SSH Honeypot baru pada port SSH default 22:
$ ssh root@server
Keaslian server host (10.1.1.61) 'tidak bisa didirikan.
Sidik jari kunci RSA adalah 81: 51: 31: 8c: 21: 2e: 41: DC: E8: 34: D7: 94: 47: 35: 8f: 88.
Apakah Anda yakin ingin terus menghubungkan (ya/tidak)? Ya
Peringatan: Server 'yang ditambahkan secara permanen, 10.1.1.61 '(RSA) ke daftar host yang dikenal.
Kata sandi:
Akuntansi: ~# Akuntansi: ~# CD / Akuntansi: /# ls var sbin home srv usr mnt selinux tmp vmlinuz initrd.img dll root dev sys hilang+ditemukan proc boot opt menjalankan media lib64 bin lib akuntansi:/# cat/etc/edisi linux mint 14 julaya \ n \ l
Terlihat tidak asing? Kami sudah selesai
Fitur tambahan
Kippo hadir dengan beberapa opsi dan pengaturan lainnya. Salah satunya adalah menggunakan utils/playlog.Py Utility untuk memutar ulang interaksi shell penyerang yang disimpan dalam log/ tty/ direktori. Selain itu, KIPPO memungkinkan file log disimpan oleh database MySQL. Lihat file konfigurasi untuk pengaturan tambahan.
Kesimpulan
Satu hal, yang perlu disebutkan adalah bahwa disarankan untuk mengonfigurasi direktori DL KIPPS ke beberapa sistem file terpisah yang terpisah. Direktori ini akan menahan semua file unduhan oleh penyerang sehingga Anda tidak ingin aplikasi Anda menggantung karena tidak ada ruang disk.
Kippo tampaknya menjadi alternatif ssh honeypot yang bagus dan mudah dikonfigurasi untuk lingkungan honeypot penuh. Kippo memiliki lebih banyak fitur untuk ditawarkan daripada yang dijelaskan dalam panduan ini. Harap baca kippo.CFG untuk terbiasa dengan mereka dan menyesuaikan pengaturan Kippo agar sesuai dengan lingkungan Anda.
Tutorial Linux Terkait:
- Daftar Alat Linux Kali Terbaik untuk Pengujian Penetrasi dan ..
- Pengantar Otomatisasi Linux, Alat dan Teknik
- Hal -hal yang harus dilakukan setelah menginstal ubuntu 20.04 FOSSA FOSSA Linux
- Hal -hal yang harus diinstal pada ubuntu 20.04
- Mengeras Kali Linux
- Hal -hal yang harus dilakukan setelah menginstal ubuntu 22.04 Jammy Jellyfish…
- Hal -hal yang harus diinstal pada Ubuntu 22.04
- Cara menggunakan ADB Android Debug Bridge untuk mengelola Android Anda…
- Cara Mencari Alat Peretasan Ekstra di Kali
- Unduh Linux
- « Instalasi Klien Spotify di Debian Linux 8 (Jessie) 64-bit
- Menyiapkan lingkungan pengembangan Django, Python dan MySQL di Debian Linux 8 Jessie »