SSH-приманка: Kippo, Kali і Raspberry-Pi
Рейтинг статті: / 2
НайгіршеНайкраще 
SSH HoneynetKippo - SSH-приманка, призначена для реєстрації доступу до SSH через атаки «грубої сили» (перебір) і всієї взаємодії зловмисника з оболонкою при успішній атаці.
Основні параметри даної програми забезпечують:
  • Запис паролів і користувачів, які атакують, намагаючись виконати атаку грубої сили.
  • Створення правильного імені користувача/пароля, як "root/root", щоб запропонувати зловмисникові підроблену файлову систему (нагадує Debian 5.0) з можливістю додавання і видалення файлів і збереження команд, виконуваних зловмисником.
  • Збереження підозрілих файлів, завантажених (через wget) атакуючим.
  • Можливість додавання в /etc/passwd файла таким чином, що атакуючий може "захопити" його.
В даний час, для Raspberry-Pi доступний Kali Linux. Автор вважає, що це чудова ідея, щоб встановити HoneyNet (приманку) на ньому. Ми матимемо можливість використовувати всі інструменти, розміщені на дистрибутиві Kali Linux, в той же час буде запущений наш Kippo.
Як завантажити і встановити Калі Linux для Raspberry-Pi читайте в цій статті.
Kippo-Raspberry-Pi
Як встановити Kippo
Ми не лише встановимо Kippo, а також встановимо базу даних MySQL, щоб зберегти події, і Kippo-Graph, що переглядати ці події через веб-інтерфейс.
Будь ласка, виконайте наступні дії, щоб встановити Kippo.
sudo apt-get install subversion python-twisted python-mysqldb apache2
1. Встановіть MySQL:
root@kali:/# apt-get install mysql-server
root@kali:/# apt-get install mysql-client
2. Створіть базу даних та користувача з ім'ям Kippo з усіма привілеями:
root@kali:/# mysql -h localhost -u root -p
mysql> create database kippo;
mysql> GRANT ALL ON kippo.* TO 'kippo'@'localhost' IDENTIFIED BY 'Kippo-password';
exit
3. Завантажте Kippo з http://kippo.googlecode.com/files/kippo-0.8.tar.gz і розпакуйте його в /usr/local/src/. Для цього перейдіть в дану директорію і розпакуйте архів, вказавши повний шлях до нього:
tar -xzvf ./kippo-0.8.tar.gz
Примітка. Використовувані в команді ключі:
x - дозволяє витягувати файли з архіву.
v - робить виведення tar докладним. Це означає, що на екран будуть виведені всі знайдені в архіві файли. Якщо ця опція опущена, інформація, що виводиться в процесі обробки, буде обмежена.
f - є обов'язковою опцією. Без неї tar намагається використовувати магнітну стрічку замість файлу архіву.
z - дозволяє обробляти архів, стиснений gzip'ом (з розширенням .gz). Якщо забудете вказати цю опцію,то tar видасть помилку. І навпаки, ця опція не повинна використовуватися для нестислих архівів.
4. Створіть таблиці за допомогою тільки що створеного користувача:
root@kali:/# cd /usr/local/src/kippo-0.8/doc/sql/
mysql> mysql -u kippo -p
mysql> use kippo;
mysql> source mysql.sql;
mysql> show tables;
exit
Kippo-Raspberry-Pi-2
5. Додайте в kippo.cfg наступні рядки:
[database_mysql]
host = localhost
database = kippo
username = kippo
password = Kippo-password
6. Створіть непривілейованого користувача, щоб запустити Kippo і дати йому доступ до папки:
root@kali: useradd -d /home/kippo -s /bin/bash -m kippo -g sudo
root@kali:/usr/local/src# chown -R kippo kippo-0.8/
7. Встановіть пакети, необхідні для Kippo-Graph:
sudo apt-get update
sudo apt-get install libapache2-mod-php5 php5-cli php5-common php5-cgi php5-mysql php5-gd
8. Завантажте Kippo-Graph:
root@kali:/# wget http://bruteforce.gr/wp-content/uploads/kippo-graph-0.8.tar
root@kali:/# mv kippo-graph-0.8.tar /var/www/
root@kali:/var/www# tar xvf kippo-graph-0.8.tar --no-same-permissions
chmod 777 generated-graphs
vim config.php #enter the appropriate values
sudo /etc/init.d/apache2 restart
9. Запустіть Kippo:
root@kali:/usr/local/src/kippo-0.8# su kippo
kippo@kali:/usr/local/src/kippo-0.8# ./start.sh
З щойно встановленим Kippo, необхідно опублікувати службу в Інтернеті. За замовчуванням Kippo слухає порт 2222. Ви можете опублікувати його, встановивши PAT, автор мав на увазі перенаправлення в маршрутизаторі порта 22 від зовнішнього IP на порт 2222 внутрішнього (приватного) IP Kippo.
Перегляд графіків
Щоб побачити графіку, просто отримайте доступ до http://Raspberry-Pi_IP_адреса/kippo-graph/
Ви зможете побачити такі графіки:
• Топ-10 паролів
• Топ-10 імен користувачів
• Топ-10 користувач -пас комбо
• Співвідношення успіху
• Успіхи за день/тиждень
• Підключення для IP для попереднього місяця
• Успішні логіни з того ж IP
• Зондування за день/тиждень
• Топ-10 SSH-клієнтів
• Активність людини всередині приманки
• Топ-10 входів (в цілому)
• Топ-10 успішних входів
• Топ-10 невдалих спроб входу
• Команди passwd
• Команди wget
• Виконані скрипти
• Цікаві команди
• Команди apt-get
• Топ-10 IP-адрес зондування системи за попередній місяць
• Всього IP-адрес зондування системи для топ-10 країн
Деякі приклади графіків:
Kippo-Raspberry-Pi-3
Kippo-Raspberry-Pi-4
Kippo-Raspberry-Pi-5
Найкраща особливість
На погляд автора, найкращою особливістю Kippo є можливість запропонувати зловмисникові підроблену файлову систему та збереження команди, які були виконані порушником, просто дозволяючи йому отримати доступ до системи, коли була виконана "успішна" атака.
Так Ви можете отримати декілька шкідливих зразків і нові сценарії, створені хакерами. Ви будете мати чудову можливість дізнатися про нові хакерські тенденції!
У файлі "/usr/local/src/kippo-0.8/data/userdb.txt" Ви можете встановити ім'я користувача/пароль, який "дозволяє" отримати доступ до підробленої системи. Ви можете встановити пароль "root:0:root" або інший, який хочете, щоб дозволити хакеру отримати доступ.
Kippo-Raspberry-Pi-6
Kippo-Raspberry-Pi-7
(Джерело EN: behindthefirewalls.com)
 
>
КнигаНовиниПрактика пошукуПартнериПро нас
Підтримка та дизайн: Могильний С.С. Шаблон: Joomla Templates by BuyHTTP Joomla Hosting