Pensez-vous que quelqu'un tente d'accéder à votre serveur? Pour le savoir, vous pouvez déployer un pot de miel Dans votre système pour vous aider à soulager votre paranoïa en confirmant ou en rejetant votre croyance initiale. À titre d'exemple, vous pouvez démarrer le pot de miel Kippo SSH, qui vous permet de surveiller les tentatives de force brute, de collecter aujourd'hui des exploits et des logiciels malveillants. Kippo enregistre également automatiquement la session de shell de Hacker, que vous pouvez rejouer pour explorer diverses techniques de piratage et utiliser plus tard ces connaissances rassemblées pour durcir votre serveur de production. Une autre raison pour laquelle l'installation d'un pot de miel est de retirer l'attention de votre serveur de production. Dans ce tutoriel, nous allons montrer comment déployer un honey pot Kippo SSH sur le serveur Ubuntu.

Conditions préalables

Kippo SSH Honeypot est une application basée sur Python. Par conséquent, nous devons d'abord installer des bibliothèques Python:

$ sudo apt-get install python twistted

Normalement, vous vous dirigeriez SSHD Écoute de service sur le port par défaut 22. Il est logique d'utiliser ce port pour votre honey pot SSH et donc si vous exécutez déjà le service SSH, nous devons modifier le port par défaut en un autre numéro. Je suggère de ne pas utiliser le port alternatif 2222 car son utilisation est déjà généralement connue et il pourrait saboter votre déguisement. Choisissons un numéro aléatoire à 4 chiffres comme 4632. Ouvrez votre fichier de configuration SSH / etc / ssh / sshd_config et modifiez la directive de port depuis:

Port 22

pour

Port 4632

Une fois terminé, vous redémarrez SSHD:

$ sudo service ssh redémarrage

Vous pouvez confirmer que vous avez correctement changé le port avec le netstat commande:

$ netstat -ant | grep 4632
TCP 0 0 0.0.0.0: 4632 0.0.0.0: * Écoutez

En outre, Kippo doit exécuter un utilisateur non privilégié, c'est donc une bonne idée de créer un compte d'utilisateur distinct et d'exécuter Kippo dans le cadre de ce compte. Créer un nouvel utilisateur Kippo:

$ sudo addUser kippo

Installation

Kippo ne nécessite aucune installation fastidieuse. Tout ce qui doit être fait, c'est télécharger un tarball gziped et l'extraire dans le répertoire du kippo. Tout d'abord, connectez-vous ou modifiez l'utilisateur en kippo, puis téléchargez le code source du kippo:

kippo @ ubuntu: ~ $ wget http: // kippo.googlecode.com / files / kippo-0.5.le goudron.gz

Extraire avec:

kippo @ ubuntu: ~ $ tar xzf kippo-0.5.le goudron.gz 

Cela créera un nouveau répertoire appelé Kippo-0.5.

Configuration

Une fois que vous aurez acquis le répertoire de Kippo, vous verrez:

kippo @ ubuntu: ~ / kippo-0.5 $ ls
Data dl doc fs.Pickle honeyfs kippo kippo.CFG Kippo.TAC LOG START.sh txtcmds utilise

Les répertoires et fichiers les plus notables ici sont:

• dl - Il s'agit d'un répertoire par défaut lorsque Kippo stockera tous les logiciels malveillants et exploits téléchargés par pirate à l'aide de la commande wget
• miel - Ce répertoire comprend certains fichiers, qui seront présentés à l'attaquant
• kippo.CFG - Fichier de configuration de Kippo
• enregistrer - Répertoire par défaut pour enregistrer l'interaction des attaquants avec le shell
• commencer.shot - Ceci est un script shell pour démarrer Kippo
• utils - Contient divers utilitaires Kippo à partir desquels le plus notable est Playlog.py, qui vous permet de rejouer la session de shell de l'attaquant

Kippo est préconfiguré avec le port 2222. Cela est principalement dû au fait que Kippo doit s'exécuter en tant qu'utilisateur non aux privilèges et que l'utilisateur non priviaire n'est en mesure d'ouvrir aucun ports, qui est inférieur au numéro 1024. Pour résoudre ce problème, nous pouvons utiliser les iptables avec des directives «pré-artimination» et «rediriger». Ce n'est pas la meilleure solution car tout utilisateur peut ouvrir le port au-dessus de 1024, créant ainsi une opportunité d'exploiter.

Ouvrez le fichier de configuration de Kippo et modifiez le numéro de port par défaut en un numéro arbitraire comme, 4633. Après cela, créez des iptables rediriger du port 22 vers Kippo sur le port 4633:

$ sudo iptables -t nat -a pré -out -p tcp --dport 22 -j redirect --to-port 4633

Configurations facultatives

Système de fichiers

Ensuite, vous souhaiterez peut-être configurer le système de fichiers, qui sera présenté à l'attaquant une fois qu'il / il vous connecte à notre pot de miel. Par défaut, Kippo est livré avec son propre système de fichiers mais il remonte à 2009 et il ne semble plus plausible. Vous pouvez cloner votre propre système de fichiers sans révéler aucune information avec l'utilité de Kippo utils / créations.py. Avec un privilèges racine exécutez la commande Linux suivante pour cloner votre système de fichiers:

# CD / Home / Kippo / Kippo-0.5 /
# utils / créations.py> fs.cornichon
Faire des choses

Nom du système d'exploitation

Kippo vous permet également de modifier le nom du système d'exploitation situé dans / etc / le fichier de problème. Disons que nous utilisons Linux Mint 14 Julaya. Bien sûr que vous utiliserez quelque chose de réel et plausible.

$ echo "Linux Mint 14 Julaya \ n \ l"> honeyfs / etc / problème

Fichier de mot de passe

Modifier honeyfs / etc / passwd et le rendre plus plausible et juteux.

Mots de passe racine alternatifs

Kippo est livré avec un mot de passe préfiguré «123456» . Vous pouvez conserver ce paramètre et ajouter plus de mots de passe comme: passer, A, 123, mot de passe, racine

kippo @ ubuntu: ~ / kippo-0.5 $ utils / passdb.DATA PY / PASS.db add pass kippo @ ubuntu: ~ / kippo-0.5 $ utils / passdb.DATA PY / PASS.db ajouter un kippo @ ubuntu: ~ / kippo-0.5 $ utils / passdb.DATA PY / PASS.db Ajouter 123 kippo @ ubuntu: ~ / kippo-0.5 $ utils / passdb.DATA PY / PASS.db Ajouter un mot de passe kippo @ ubuntu: ~ / kippo-0.5 $ utils / passdb.DATA PY / PASS.db ajouter de la racine

Maintenant, l'attaquant pourra se connecter avec Root avec l'un des mots de passe ci-dessus.

Création de nouvelles commandes

De plus, Kippo vous permet de configurer des commandes supplémentaires qui sont stockées dans TXTCMDS / répertoire. Pour créer une nouvelle commande, par exemple df Nous redirigeons simplement la sortie df Commande à txtcmds / bin / df:

# df -h> txtcmds / bin / df 

Ce qui précède est une simple commande de sortie de texte statique, mais il occupera un attaquant occupé pendant un certain temps.

Nom d'hôte

Modifier le fichier de configuration kippo.CFG et changez votre nom d'hôte en quelque chose de plus attrayant comme:

nom d'hôte = comptabilité

Démarrer le miel kippo ssh

Si vous avez suivi les instructions ci-dessus jusqu'à ce point, vous devriez maintenant avoir configuré votre honeypot SSH avec les paramètres suivants:

• Port d'écoute 4633
• iptables portforward du 22 -> 4633
• Nom d'hôte: comptabilité
• Plusieurs mots de passe racine
• Clone honeyfs frais de votre système existant
• OS: Linux Mint 14 Julaya

Commençons par kippo ssh honeypot maintenant.

$ pwd
/ Home / Kippo / Kippo-0.5
kippo @ ubuntu: ~ / kippo-0.5 $ ./commencer.shot
Démarrer Kippo en arrière-plan… générant des clés RSA…
fait.
kippo @ ubuntu: ~ / kippo-0.5 $ kat kippo.piquer
2087

À partir de ce qui précède, vous pouvez voir que Kippo a commencé et qu'il a créé toutes les clés RSA nécessaires pour la communication SSH. De plus, il a également créé un fichier appelé kippo.PID, qui contiennent un numéro PID de l'instance en cours d'exécution de Kippo, que vous pouvez utiliser pour terminer Kippo avec le tuer commande.

Tester le déploiement de la pot de miel SSH

Maintenant, nous devrions être en mesure de nous connecter à notre nouveau serveur SSH Alias ​​SSH HoneyPot sur le port SSH par défaut 22:

$ ssh root @ server
L'authenticité du serveur hôte (10.1.1.61) «Je ne peux pas être établi.
L'empreinte digitale de la clé RSA est 81: 51: 31: 8c: 21: 2e: 41: DC: E8: 34: D7: 94: 47: 35: 8f: 88.
Êtes-vous sûr de vouloir continuer à vous connecter (oui / non)? Oui
AVERTISSEMENT: serveur «serveur«.1.1.61 '(RSA) à la liste des hôtes connus.
Mot de passe:
comptabilité: ~ # comptabilité: ~ # CD / comptabilité: / # ls var sbin home srv usr mnt selinux tmp vmlinuz initrd.img etc root dev sys perd + trouvé proc boot opt ​​run media lib64 bin lib comptabilité: / # cat / etc / issue linux mint 14 julaya \ n \ l 

Semble familier? Nous avons fini

Caractéristiques supplémentaires

Kippo est livré avec plusieurs autres options et paramètres. L'un d'eux est d'utiliser des utils / playlog.utilitaire PY pour rejouer les interactions de coquille de l'attaquant stockées dans le log / tty / répertoire. De plus, Kippo permet de stocker les fichiers journaux par la base de données MySQL. Voir le fichier de configuration pour des paramètres supplémentaires.

Conclusion

Une chose qui doit être mentionnée est qu'il est conseillé de configurer le répertoire DL du Kipps à un système de fichiers séparé. Ce répertoire tiendra tous les fichiers téléchargement par l'attaquant afin que vous ne vouliez pas que vos applications soient suspendues à cause de l'espace disque.

Kippo semble être une alternative SSH HoneyPot agréable et facile à des environnements de pot de miel chrootés complets. Kippo a plus de fonctionnalités à offrir que celles décrites dans ce guide. Veuillez lire Kippo.CFG pour se familiariser avec eux et ajuster les paramètres de Kippo pour s'adapter à votre environnement.

Tutoriels Linux connexes:

• Liste des meilleurs outils Kali Linux pour les tests de pénétration et…
• Une introduction à l'automatisation Linux, des outils et des techniques
• Choses à faire après l'installation d'Ubuntu 20.04 Focal Fossa Linux
• Choses à installer sur Ubuntu 20.04
• Durcissant kali linux
• Choses à faire après l'installation d'Ubuntu 22.04 Jammy Jellyfish…
• Choses à installer sur Ubuntu 22.04
• Comment utiliser ADB Android Debug Bridge pour gérer votre Android…
• Comment rechercher des outils de piratage supplémentaires sur Kali
• Téléchargement Linux