Você acha que alguém está tentando acessar o servidor? Para descobrir, você pode implantar um pote de mel dentro do seu sistema para ajudá -lo a aliviar sua paranóia, confirmando ou descartando sua crença inicial. Como exemplo, você pode iniciar o kippo ssh honeypot, que permite monitorar tentativas de força bruta, coletar explorações e malware hoje. Kippo também grava automaticamente a sessão de shell do hacker, que você pode reproduzir para explorar várias técnicas de hackers e posteriormente usar esse conhecimento reunido para endurecer seu servidor de produção. Outro motivo para instalar um honeypot é tirar uma atenção do seu servidor de produção. Neste tutorial, mostraremos como implantar um Honeypot Kippo SSH no servidor Ubuntu.

Pré -requisitos

Kippo SSH Honeypot é um aplicativo baseado em Python. Portanto, precisamos primeiro instalar as bibliotecas Python:

$ sudo apt-get install python twisted

Normalmente você iria te dirigir sshd Serviço ouvindo na porta padrão 22. Faz sentido usar esta porta para o seu ssh honeypot e, portanto, se você já executa o serviço SSH, precisamos alterar a porta padrão para algum outro número. Eu sugeriria não usar a porta alternativa 2222, pois seu uso já é geralmente conhecido e pode sabotar seu disfarce. Vamos escolher algum número aleatório de 4 dígitos como 4632. Abra seu arquivo de configuração ssh/etc/ssh/sshd_config e altere a diretiva da porta de:

Porta 22

para

Porta 4632

Uma vez feito, reinicie seu sshd:

$ sudo serviço ssh reinicialização

Você pode confirmar que mudou a porta corretamente com o netstat comando:

$ netstat -Ant | Grep 4632
TCP 0 0 0.0.0.0: 4632 0.0.0.0:* Ouça

Além disso, o Kippo precisa executar um usuário não privilegiado, por isso é uma boa ideia criar uma conta de usuário separada e executar o Kippo sob esta conta. Crie um novo usuário kippo:

$ sudo adduser kippo

Instalação

Kippo não requer nenhuma instalação tediosa. Tudo o que precisa ser feito é baixar um tarball gziped e extraí -lo para o diretório do kippo. Primeiro, faça o login como ou altere o usuário para Kippo e depois faça o download do código -fonte do kippo:

kippo@ubuntu: ~ wget http: // kippo.GoogleCode.com/arquivos/kippo-0.5.alcatrão.gz

Extraia com:

kippo@ubuntu: ~ $ tar xzf kippo-0.5.alcatrão.gz 

Isso criará um novo diretório chamado kippo-0.5.

Configuração

Depois de navegar no diretório de Kippo, você verá:

kippo@ubuntu: ~/kippo-0.5 $ ls
Data DL Doc FS.picles honeyfs kippo kippo.CFG Kippo.TAC LOG START.SH TXTCMDS UTILS

Os diretórios e arquivos mais notáveis ​​aqui estão:

• dl - Este é um diretório padrão quando o Kippo armazenará todos os malware e explorações baixadas por hacker usando o comando wget
• Honeyfs - Este diretório inclui alguns arquivos, que serão apresentados ao atacante
• Kippo.cfg - arquivo de configuração de Kippo
• registro - Diretório padrão para registrar os atacantes interação com o shell
• começar.sh - Este é um script de shell para iniciar o kippo
• útil - Contém vários utilitários Kippo, dos quais o mais notável é a reprodução.PY, que permite que você reproduza a sessão de shell do atacante

Kippo vem pré-configurado com a porta 2222. Isso ocorre principalmente porque o Kippo precisa ser executado como usuário não privilegiado e usuário não privilegiado, não pode abrir nenhuma porta, abaixo do número 1024. Para resolver esse problema, podemos usar iptables com diretivas de “pré -eleting” e “redirecionar”. Esta não é a melhor solução, pois qualquer usuário pode abrir a porta acima de 1024, criando uma oportunidade para explorar.

Abra o arquivo de configuração de Kippo e altere o número da porta padrão para algum número arbitrário como, 4633. Depois disso, crie o redirecionamento iptables da porta 22 para a Kippo na porta 4633:

$ sudo iptables -t nat -a pré -transporting -p tcp - -dport 22 -j redirect - -para -porta 4633

Configurações opcionais

Sistema de arquivo

Em seguida, você pode configurar o FileSystem, que será apresentado ao atacante assim que ele/ele faz o login no Honeypot. Por padrão, Kippo vem com seu próprio sistema de arquivos, mas remonta a 2009 e não parece mais plausível. Você pode clonar seu próprio sistema de arquivos sem revelar nenhuma informação com o utilitário de Kippo UTILS/CREATEFS.py. Com privilégios root, execute o seguinte comando Linux para clonar seu sistema de arquivos:

# CD/Home/Kippo/Kippo-0.5/
# utils/createfs.py> fs.salmoura
Fazendo coisas

Nome do sistema operacional

Kippo também permite alterar o nome do sistema operacional localizado em /etc /arquivo de edição. Digamos que usamos o Linux Mint 14 Julaya. Claro que você usará algo real e plausível.

$ echo "Linux Mint 14 Julaya \ n \ l"> honeyfs/etc/edição

Arquivo de senha

Editar honeyfs/etc/passwd e torná -lo mais plausível e suculento.

Senhas de raiz alternativas

Kippo vem com senha prefigurada “123456” . Você pode manter esta configuração e adicionar mais senhas como: Pass, A, 123, Senha, Root

kippo@ubuntu: ~/kippo-0.5 $ utils/passdb.Dados/passe PY.db Add Pass Kippo@Ubuntu: ~/kippo-0.5 $ utils/passdb.Dados/passe PY.db Adicione um kippo@ubuntu: ~/kippo-0.5 $ utils/passdb.Dados/passe PY.db Adicionar 123 kippo@ubuntu: ~/kippo-0.5 $ utils/passdb.Dados/passe PY.db Adicionar senha kippo@ubuntu: ~/kippo-0.5 $ utils/passdb.Dados/passe PY.DB Adicionar raiz

Agora o invasor poderá fazer login como root com qualquer uma das senhas acima.

Criando novos comandos

Além disso, o KIPPO permite configurar comandos adicionais que são armazenados em txtcmds/ diretório. Para criar um novo comando, por exemplo df Simplesmente redirecionamos a saída do real df comando para txtcmds/bin/df:

# df -h> txtcmds/bin/df 

O acima é um comando simples de saída de texto estático, mas manterá um invasor ocupado por algum tempo.

nome de anfitrião

Edite o arquivo de configuração Kippo.CFG e mude seu nome de host para algo mais atraente como:

HostName = Contabilidade

Iniciando kippo ssh honeypot

Se você seguiu as instruções acima até este ponto, agora você deve ter configurado o SSH Honeypot com as seguintes configurações:

• Porta de escuta 4633
• iptables portforward de 22 -> 4633
• Nome do host: Contabilidade
• várias senhas raiz
• Clone de Honeyfs atualizado fresco do seu sistema existente
• OS: Linux Mint 14 Julaya

Vamos começar o Honeypot Kippo SSH agora.

$ PWD
/Home/Kippo/Kippo-0.5
kippo@ubuntu: ~/kippo-0.5 $ ./começar.sh
Iniciando Kippo em fundo ... gerando o RSA Keypair…
feito.
kippo@ubuntu: ~/kippo-0.5 $ Cat Kippo.PID
2087

Do exposto, você pode ver que o Kippo começou e que criou todas as teclas RSA necessárias para a comunicação SSH. Além disso, também criou um arquivo chamado kippo.PID, que contêm um número PID da instância em execução de Kippo, que você pode usar para encerrar o kippo com o matar comando.

Testando a implantação do Honeypot SSH

Agora, devemos ser capazes de fazer login no nosso novo alias de servidor ssh ssh honeypot na porta SSH padrão 22:

$ ssh root@servidor
A autenticidade do servidor host (10.1.1.61) 'não pode ser estabelecido.
A impressão digital da RSA é 81: 51: 31: 8c: 21: 2e: 41: DC: E8: 34: D7: 94: 47: 35: 8f: 88.
Tem certeza que deseja continuar se conectando (sim/não)? sim
Aviso: Adicionado permanentemente 'servidor, 10.1.1.61 '(RSA) para a lista de hosts conhecidos.
Senha:
Contabilidade: ~# Contabilidade: ~# CD / Contabilidade: /# ls var sbin home srv usr mnt selinux tmp vmlluz initrd.img etc etc root sys Lost+Proc Boot Opt Run Media Lib64 Bin Lib Contabilidade:/# CAT/etc/Issue Linux Mint 14 Julaya \ n \ l 

Parece familiar? Acabamos

Características adicionais

Kippo vem com várias outras opções e configurações. Um deles é usar utilitários/playlog.Utilidade do PY para reproduzir as interações de shell do atacante armazenadas em log/ tty/ diretório. Além disso, o Kippo permite que os arquivos de log sejam armazenados pelo banco de dados MySQL. Consulte o arquivo de configuração para configurações adicionais.

Conclusão

Uma coisa, que precisa ser mencionada é que é aconselhável configurar o diretório DL do KIPPS para algum sistema de arquivos separado. Este diretório manterá todos os arquivos download pelo invasor para que você não queira que seus aplicativos fiquem pendurados por causa do espaço em disco.

Kippo parece ser uma alternativa agradável e fácil de configurar o honeypot ssh aos ambientes completos de honeypot. Kippo tem mais recursos a oferecer do que os descritos neste guia. Por favor, leia Kippo.CFG para se familiarizar com eles e ajustar as configurações de Kippo para se ajustar ao seu ambiente.

Tutoriais do Linux relacionados:

• Lista das melhores ferramentas Kali Linux para testes de penetração e…
• Uma introdução à automação, ferramentas e técnicas do Linux
• Coisas para fazer depois de instalar o Ubuntu 20.04 fossa focal linux
• Coisas para instalar no Ubuntu 20.04
• Endurecendo Kali Linux
• Coisas para fazer depois de instalar o Ubuntu 22.04 Jellyfish…
• Coisas para instalar no Ubuntu 22.04
• Como usar o ADB Android Debug Bridge para gerenciar seu Android…
• Como procurar ferramentas extras de hackers em kali
• Download do Linux