Kojoney — honeypot для SSH

Немного поднимем тему по honeypot, а точнее разберем установку Kojoney — эмулятор ssh.
Для начала скачаем его с сайта: kojoney.sourceforge.net
И так же установим все его зависимости:

apt-get install python python-twisted python-zope.interface python-pyasn1

После этого распакуем скачанный архив (старой доброй командой tar -xvf) в папку /etc/kojoney
И немного подправим порты по своему усмотрению в файлике coret_config.py
Если будем запускать Kojoney без рут привелегий то меняем порт в строке

CONFIG_PORTS = [5022]

а если с ними, то в строке

ROOT_CONFIG_PORTS = [22]

Главное чтобы порт реального SSH не пересекался с его подделкой.
И так же укажем куда будем писать логи.

если под рутом:

ROOT_CONFIG_LOGS = [sys.stderr, open("/var/log/honeypot.log", "a")]

если без рут привелегий:

CONFIG_LOGS = [sys.stderr, open("/tmp/honeypot.log", "a")]

Теперь остается его только запустить

/etc/kojoney/kojoney.py

для теста подключиться к нашему серверу по SSH по фейк порту и наблюдать за логом, пример которого видно ниже:
2010-02-16 18:33:01+0300 [SSHServerTransport,0,192.168.100.41] kex alg, key alg: diffie-hellman-group1-sha1 ssh-rsa
2010-02-16 18:33:01+0300 [SSHServerTransport,0,192.168.100.41] outgoing: aes256-ctr hmac-sha1 none
2010-02-16 18:33:01+0300 [SSHServerTransport,0,192.168.100.41] incoming: aes256-ctr hmac-sha1 none
2010-02-16 18:33:02+0300 [SSHServerTransport,0,192.168.100.41] NEW KEYS
2010-02-16 18:33:02+0300 [SSHServerTransport,0,192.168.100.41] starting service ssh-userauth
2010-02-16 18:33:07+0300 [SSHService ssh-userauth on SSHServerTransport,0,192.168.100.41] as trying auth none
2010-02-16 18:33:08+0300 [SSHService ssh-userauth on SSHServerTransport,0,192.168.100.41] as trying auth password
2010-02-16 18:33:09+0300 [-] as failed auth password
2010-02-16 18:33:09+0300 [-] unauthorized login:
2010-02-16 18:33:13+0300 [SSHService ssh-userauth on SSHServerTransport,0,192.168.100.41] as trying auth password
2010-02-16 18:33:14+0300 [-] as failed auth password
2010-02-16 18:33:14+0300 [-] unauthorized login:
2010-02-16 18:33:15+0300 [SSHService ssh-userauth on SSHServerTransport,0,192.168.100.41] as trying auth password
2010-02-16 18:33:16+0300 [-] as failed auth password
2010-02-16 18:33:16+0300 [-] unauthorized login:
2010-02-16 18:33:16+0300 [SSHService ssh-userauth on SSHServerTransport,0,192.168.100.41] as trying auth password
2010-02-16 18:33:17+0300 [-] as failed auth password
2010-02-16 18:33:17+0300 [-] unauthorized login:
2010-02-16 18:33:18+0300 [SSHService ssh-userauth on SSHServerTransport,0,192.168.100.41] as trying auth password
2010-02-16 18:33:19+0300 [-] as failed auth password
2010-02-16 18:33:19+0300 [-] unauthorized login:
2010-02-16 18:33:21+0300 [SSHServerTransport,0,192.168.100.41] connection lost
2010-02-16 18:33:31+0300 [SSHServerTransport,1,192.168.100.41] kex alg, key alg: diffie-hellman-group1-sha1 ssh-rsa
2010-02-16 18:33:31+0300 [SSHServerTransport,1,192.168.100.41] outgoing: aes256-ctr hmac-sha1 none
2010-02-16 18:33:31+0300 [SSHServerTransport,1,192.168.100.41] incoming: aes256-ctr hmac-sha1 none
2010-02-16 18:33:31+0300 [SSHServerTransport,1,192.168.100.41] NEW KEYS
2010-02-16 18:33:31+0300 [SSHServerTransport,1,192.168.100.41] starting service ssh-userauth
2010-02-16 18:33:34+0300 [SSHService ssh-userauth on SSHServerTransport,1,192.168.100.41] apple trying auth none
2010-02-16 18:33:37+0300 [SSHService ssh-userauth on SSHServerTransport,1,192.168.100.41] apple trying auth password
2010-02-16 18:33:37+0300 [SSHService ssh-userauth on SSHServerTransport,1,192.168.100.41] apple authenticated with password
2010-02-16 18:33:37+0300 [SSHService ssh-userauth on SSHServerTransport,1,192.168.100.41] starting service ssh-connection
2010-02-16 18:33:37+0300 [SSHService ssh-connection on SSHServerTransport,1,192.168.100.41] got channel session request
2010-02-16 18:33:37+0300 [SSHChannel session (0) on SSHService ssh-connection on SSHServerTransport,1,192.168.100.41] channel open
2010-02-16 18:33:37+0300 [SSHChannel session (0) on SSHService ssh-connection on SSHServerTransport,1,192.168.100.41] pty request: xterm (24, 80, 0, 0)
2010-02-16 18:33:37+0300 [SSHChannel session (0) on SSHService ssh-connection on SSHServerTransport,1,192.168.100.41] getting shell
2010-02-16 18:33:37+0300 [SSHChannel session (0) on SSHService ssh-connection on SSHServerTransport,1,192.168.100.41]
2010-02-16 18:33:39+0300 [SSHChannel session (0) on SSHService ssh-connection on SSHServerTransport,1,192.168.100.41] COMMAND IS : ls
2010-02-16 18:33:41+0300 [SSHChannel session (0) on SSHService ssh-connection on SSHServerTransport,1,192.168.100.41] COMMAND IS : pwd
2010-02-16 18:33:47+0300 [SSHChannel session (0) on SSHService ssh-connection on SSHServerTransport,1,192.168.100.41] COMMAND IS : cd /etc
2010-02-16 18:33:55+0300 [SSHChannel session (0) on SSHService ssh-connection on SSHServerTransport,1,192.168.100.41] COMMAND IS : help
2010-02-16 18:34:03+0300 [SSHServerTransport,1,192.168.100.41] connection lost

Кстати Kojoney можно установить как демон, запустив скрипт в архиве — INSTALL.sh и тогда его можно будет запустить командой

/usr/bin/kojoneyd

или

/etc/init.d/kojoney start

но я предпочитаю его запускать в отдельном экране screen.

Заказать создание и поддержку безопасной IT-инфраструктуры любой сложности

Быть уверенным в своей IT-инфраструктуре — это быть уверенным в завтрашнем дне.

Для того, чтобы сделать заказ:

Заполните форму обратной связи и мы обязательно с вам свяжемся:
Форма обратной связи
Позвоните нам по телефону:
+7(909)952-44-33
Напишите нам на электронную почту:
order@blackdiver.net
Напишите нам в Telegram:
Telegram
Другие способы связи Вы сможете найти в разделе Контакты.