Немного поднимем тему по honeypot, а точнее разберем установку Kojoney – эмулятор ssh.
Для начала скачаем его с сайта: kojoney.sourceforge.net
И так же установим все его зависимости:
apt-get install python python-twisted python-zope.interface python-pyasn1
После этого распакуем скачанный архив (старой доброй командой tar -xvf) в папку /etc/kojoney
И немного подправим порты по своему усмотрению в файлике coret_config.py
Если будем запускать Kojoney без рут привелегий то меняем порт в строке
CONFIG_PORTS = [5022]
а если с ними, то в строке
ROOT_CONFIG_PORTS = [22]
Главное чтобы порт реального SSH не пересекался с его подделкой.
И так же укажем куда будем писать логи.
если под рутом:
ROOT_CONFIG_LOGS = [sys.stderr, open("/var/log/honeypot.log", "a")]
если без рут привелегий:
CONFIG_LOGS = [sys.stderr, open("/tmp/honeypot.log", "a")]
Теперь остается его только запустить
/etc/kojoney/kojoney.py
для теста подключиться к нашему серверу по SSH по фейк порту и наблюдать за логом, пример которого видно ниже:
2010-02-16 18:33:01+0300 [SSHServerTransport,0,192.168.100.41] kex alg, key alg: diffie-hellman-group1-sha1 ssh-rsa
2010-02-16 18:33:01+0300 [SSHServerTransport,0,192.168.100.41] outgoing: aes256-ctr hmac-sha1 none
2010-02-16 18:33:01+0300 [SSHServerTransport,0,192.168.100.41] incoming: aes256-ctr hmac-sha1 none
2010-02-16 18:33:02+0300 [SSHServerTransport,0,192.168.100.41] NEW KEYS
2010-02-16 18:33:02+0300 [SSHServerTransport,0,192.168.100.41] starting service ssh-userauth
2010-02-16 18:33:07+0300 [SSHService ssh-userauth on SSHServerTransport,0,192.168.100.41] as trying auth none
2010-02-16 18:33:08+0300 [SSHService ssh-userauth on SSHServerTransport,0,192.168.100.41] as trying auth password
2010-02-16 18:33:09+0300 [-] as failed auth password
2010-02-16 18:33:09+0300 [-] unauthorized login:
2010-02-16 18:33:13+0300 [SSHService ssh-userauth on SSHServerTransport,0,192.168.100.41] as trying auth password
2010-02-16 18:33:14+0300 [-] as failed auth password
2010-02-16 18:33:14+0300 [-] unauthorized login:
2010-02-16 18:33:15+0300 [SSHService ssh-userauth on SSHServerTransport,0,192.168.100.41] as trying auth password
2010-02-16 18:33:16+0300 [-] as failed auth password
2010-02-16 18:33:16+0300 [-] unauthorized login:
2010-02-16 18:33:16+0300 [SSHService ssh-userauth on SSHServerTransport,0,192.168.100.41] as trying auth password
2010-02-16 18:33:17+0300 [-] as failed auth password
2010-02-16 18:33:17+0300 [-] unauthorized login:
2010-02-16 18:33:18+0300 [SSHService ssh-userauth on SSHServerTransport,0,192.168.100.41] as trying auth password
2010-02-16 18:33:19+0300 [-] as failed auth password
2010-02-16 18:33:19+0300 [-] unauthorized login:
2010-02-16 18:33:21+0300 [SSHServerTransport,0,192.168.100.41] connection lost
2010-02-16 18:33:31+0300 [SSHServerTransport,1,192.168.100.41] kex alg, key alg: diffie-hellman-group1-sha1 ssh-rsa
2010-02-16 18:33:31+0300 [SSHServerTransport,1,192.168.100.41] outgoing: aes256-ctr hmac-sha1 none
2010-02-16 18:33:31+0300 [SSHServerTransport,1,192.168.100.41] incoming: aes256-ctr hmac-sha1 none
2010-02-16 18:33:31+0300 [SSHServerTransport,1,192.168.100.41] NEW KEYS
2010-02-16 18:33:31+0300 [SSHServerTransport,1,192.168.100.41] starting service ssh-userauth
2010-02-16 18:33:34+0300 [SSHService ssh-userauth on SSHServerTransport,1,192.168.100.41] apple trying auth none
2010-02-16 18:33:37+0300 [SSHService ssh-userauth on SSHServerTransport,1,192.168.100.41] apple trying auth password
2010-02-16 18:33:37+0300 [SSHService ssh-userauth on SSHServerTransport,1,192.168.100.41] apple authenticated with password
2010-02-16 18:33:37+0300 [SSHService ssh-userauth on SSHServerTransport,1,192.168.100.41] starting service ssh-connection
2010-02-16 18:33:37+0300 [SSHService ssh-connection on SSHServerTransport,1,192.168.100.41] got channel session request
2010-02-16 18:33:37+0300 [SSHChannel session (0) on SSHService ssh-connection on SSHServerTransport,1,192.168.100.41] channel open
2010-02-16 18:33:37+0300 [SSHChannel session (0) on SSHService ssh-connection on SSHServerTransport,1,192.168.100.41] pty request: xterm (24, 80, 0, 0)
2010-02-16 18:33:37+0300 [SSHChannel session (0) on SSHService ssh-connection on SSHServerTransport,1,192.168.100.41] getting shell
2010-02-16 18:33:37+0300 [SSHChannel session (0) on SSHService ssh-connection on SSHServerTransport,1,192.168.100.41]
2010-02-16 18:33:39+0300 [SSHChannel session (0) on SSHService ssh-connection on SSHServerTransport,1,192.168.100.41] COMMAND IS : ls
2010-02-16 18:33:41+0300 [SSHChannel session (0) on SSHService ssh-connection on SSHServerTransport,1,192.168.100.41] COMMAND IS : pwd
2010-02-16 18:33:47+0300 [SSHChannel session (0) on SSHService ssh-connection on SSHServerTransport,1,192.168.100.41] COMMAND IS : cd /etc
2010-02-16 18:33:55+0300 [SSHChannel session (0) on SSHService ssh-connection on SSHServerTransport,1,192.168.100.41] COMMAND IS : help
2010-02-16 18:34:03+0300 [SSHServerTransport,1,192.168.100.41] connection lost
Кстати Kojoney можно установить как демон, запустив скрипт в архиве – INSTALL.sh и тогда его можно будет запустить командой
/usr/bin/kojoneyd
или
/etc/init.d/kojoney start
но я предпочитаю его запускать в отдельном экране screen.
Заказать создание и поддержку безопасной IT-инфраструктуры любой сложностиБыть уверенным в своей IT-инфраструктуре – это быть уверенным в завтрашнем дне. Для того, чтобы сделать заказ:
|