Το προφίλ μας στο Google Plus
43

Ωραίο SSH honeypot, αλλά για το σπιτάκι!

Είμαστε σίγουροι πως η ιδέα των honeypots, τα οποία παρουσιάσαμε στο άρθρο που αρχίζει από τη σελίδα 12 του παρόντος, σας κέντρισε το ενδιαφέρον και με το παραπάνω! Κατανοητό κι αναμενόμενο, μιας και πρόκειται για ένα πραγματικά ξεχωριστό concept στον τομέα της ασφάλειας. Θα χαρείτε επομένως με το νέο ότι μπορείτε εύκολα να στήσετε μια διαδικτυακή παγίδα στο οικιακό σας δίκτυο, χάρη στην οποία θα καταγράφετε τις κινήσεις οποιουδήποτε κακόβουλου χρήστη επιχειρεί να σας επιτεθεί από το Internet!

deltaHacker Μαρτίου (τεύχος 006) | Ωραίο SSH honeypot, αλλά για το σπιτάκι!

Για να δημιουργήσουμε το δικό μας honeypot χρειάζονται οπωσδήποτε δύο πράγματα: Πρώτον, έναν υπολογιστή που θα χρησιμοποιηθεί γι’ αυτόν το σκοπό και, δεύτερον, το λογισμικό που θα προσομοιώσει τη λειτουργία μιας επιθυμητής, δικτυακής υπηρεσίας.

Ο υπολογιστής αυτός μπορεί να ‘ναι είτε μια φυσική μηχανή που έχουμε ξεχασμένη κάπου στο σπίτι είτε μια εικονική μηχανή που θα δημιουργήσουμε και θα τρέχουμε στο υπάρχουν μηχάνημά μας είτε ένα VPS (βλ. και deltaHacker 005, σελ. 44). Για το δικό μας παράδειγμα, η διαδικασία θα πραγματοποιηθεί χρησιμοποιώντας μια εικονική μηχανή (virtual machine, VM) που θα δημιουργηθεί με τη βοήθεια του δημοφιλούς VirtualBox, σε φυσικό υπολογιστή (host machine) με Windows 7. (Αν είστε νεοφερμένος στον κόσμο του virtualization γενικότερα ή/και του VirtualBox ειδικότερα, πριν συνεχίσουμε παροτρύνεστε να διαβάσετε σχετικό άρθρο που έχουμε δημοσιευμένο online — και να δείτε τα συνοδευτικά screencasts).

Διαβάστε όλο το άρθρο στο deltaHacker Μαρτίου (τεύχος 006). Όλες τις πληροφορίες για τις συνδρομές στο deltaHacker, το μοναδικό μηνιαίο περιοδικό με θεματολογία ethical hacking και infosec που δεν κυκλοφορεί στα περίπτερα, θα τις βρείτε εδώ ακριβώς. Για παραγγελίες μεμονωμένων τευχών ή συνδρομών συμπληρώστε τη σχετική φόρμα.

Σημείωση: Οι συνδρομές μπορούν να ξεκινούν από όποιο τεύχος επιθυμείτε, αρκεί να υπάρχει σε stock.

43 Responses to “Ωραίο SSH honeypot, αλλά για το σπιτάκι!”

  1. h-api | 24/03/2012 at 12:06

    Προσπαθώντας να εγκαταστησω το kippo παρουσιάστηκε πρόβλημα στο sudo apt-get install phpmyadmin . Το μηνυμα ειναι
    Error 2002 (HY000) Cannot connect to local mysql….
    Συνεχισα μεχρι το mysql -u root -p και πήρα παλι το ιδιο μηνυμα

    Πως το διορθώνω ;;
    Επισης προσπάθησα να συνδεθω μεσω http://IP ubuntu server απο Η/Υ του δικτυου αλλα πηρα το 404

  2. Ion | 24/03/2012 at 14:37

    Γεια σου h-api. Το συγκεκριμένο πρόβλημα είναι σχετικά γνωστό σε διάφορους χρήστες αν και προσωπικά δεν μου έχει τύχει. Η “εύκολη” λύση στη συγκεκριμένη περίπτωση είναι να ξανακάνεις απ’ την αρχή εγκατάσταση το Ubuntu Server στο VM (μη ξεχνόντας να επιλέξεις -με το space- τα SSH και LAMP server). Η “δύσκολη” λύση είναι να προσπαθήσουμε να το κάνουμε troubleshoot. Και λέω δύσκολη γιατί απ’ ότι κοίταξα στο internet η λύση δεν είναι προφανής, και διαφορετικά πράγματα δούλεψαν για διαφορετικούς χρήστες. Πάντως, ξεκίνα από το να τσεκάρεις ότι apache και mysql τρέχουν καταρχήν στο σύστημα:

    ps -ef | grep apache

    και

    ps -ef | grep mysql

    . Και μας λες τι έξοδο παίρνεις…

  3. h-api | 25/03/2012 at 21:14

    Στην αρχη δοκιμασα να εγκαταστήσω το ubuntu με vmware workstation 8 και αντιμετώπισα τα προβληματα που ανέφερα .
    Αφου δεν μπορεσα να ξεπερασω τα προβληματα ξεκινησα να δημιουργησω το vm με το virtual box οπου ολοκληρώθηκε κανονικα ολη η διαδικασία.
    Αυτο που δεν μπορεσα να δω ειναι η καταγραφη της εισοδου απο το telnet στον mysql οπως αναφέρετε στο περιοδικό . Δεν ειναι ενεργοποιημένη η επιλογή Browse οταν επιλέγω την database kippo
    Πάντως το αρθρο ειναι πολυ καλό

    • subZraw | 25/03/2012 at 21:29

      Εχμ, συγνώμη που επεμβαίνω, όμως τι δουλειά έχει τώρα το Telnet, που μάλιστα αναφέρεται και στο περιοδικό; (NOT!)

      Πάντως, ναι, συμφωνώ κι εγώ ότι το άρθρο είναι πολύ καλό, μάλιστα διασκέδασα κι έμαθα πολλά στήνοντας το δικό μου VM μου με το Kippo :)

    • Ion | 26/03/2012 at 00:20

      Νομίζω πως όταν λες telnet μάλλον εννοείς την… κονσόλα;

      Πρόσεχε να έχεις βγάλει το σύμβολο δίεση στις γραμμές που αναφέρονται στο άρθρο μέσα στο αρχείο ρυθμίσεων του Kippo. Στον πίνακα με όνομα input της βάσης θα πρέπει να βλέπεις τα αποτελέσματα.

  4. h-api | 26/03/2012 at 20:27

    Ανεφερα telnet (μην βαρατε) εκ παραδρομης ενω επρεπε να πω SSH client (συγκεκριμένα putty) απο ενα τερματικό του δικτυου για να ελεγξω εαν καταγράφετε απο το kippo η προσπάθεια συνδεσης .
    Συνδεομαι απο windows pc μεσω http://192.168.1.250/phpmyadmin για να βλεπω τις επιτυχημένες ή αποτυχημένες συνδέσεις
    Συμφωνα με το αρθρο ( εικονα 3 ) θα επρέπει να βλέπω την αποτυχημένη σύνδεση αλλα εαν τοποθετήσω το κερσορα πάνω στο Browse εμφανίζετε Table seems to be empty
    Δεν γράφει στην βάση τις προσπάθειες συνδεσεις .

    • Ion | 27/03/2012 at 02:16

      Ξαναδές αρχικά τη σελίδα 86 του περιοδικού, εκεί όπου γίνεται η ρύθμιση στο αρχείο kippo.cfg για την ενεργοποίηση της καταγραφής στη βάση MySQL. Λογικά κάτι ξέχασες.

    • Filippos | 27/03/2012 at 11:26

      Στο αρχείο ρύθμισης του kippo, θα πρέπει εκτός από την port να ρυθμίσεις και τα στοιχεία σύνδεσης με την βάση δεδομένων. Τσέκαρε όπως λέει και στο άρθρο να έχεις κάνει uncomment αυτά:

      [database_mysql]
      host = localhost
      database = kippo
      username = kippo
      password =

      και να έχεις βάλει το σωστό username/password, αφού πρώτα τα έχεις δημιουργήσει ως root στο mysql console.

  5. VRsMAker | 27/03/2012 at 16:47

    Βοήθεια για το honeypot!

    Μετά την εντολή sudo /etc/init.d/networking restart παίρνω αυτό το μήνυμα και δεν αλλάζει τίποτα!

    Running /etc/init.d/networking restart is deprecated because it may not enable again some interfaces
    * Reconfiguring network interfaces…
    Don’t seem to have all the variables for eth0/intet.
    Failed to bring up eth0.

    Το αρχείο είναι ακριβώς ίδιο με αυτό που γράφεται στο περιοδικό.
    Τι έχω κάνει λάθος;
    Οι συνθήκες που γίνεται είναι ακριβώς οι ίδιες μόνο που εγώ για host machine έχω linux.

    • Ion | 27/03/2012 at 23:02

      Μάλλον δεν είναι *ακριβώς* ίδιο με αυτό που γράφεται στο περιοδικό ;)
      Ξανα-τσέκαρε το προσεκτικά. Λογικά έχεις κάποιο ορθογραφικό λάθος.

  6. h-api | 27/03/2012 at 19:01

    To προβλημα ηταν στο kippo.cfg και ηταν το password.
    Θα επανελθω για εντυπώσεις

    Ευχαριστώ γισ τις απαντήσεις

  7. VRsMAker | 28/03/2012 at 14:20

    Το τσέκαρα 3 φορές, το ξαναέγραψα και είναι συμβαίνει πάλι το ίδιο.Μόλις αλλάζω όμως την επιλογή από static σε dhcp γίνονται όλα κανονικά (αν και η διεύθυνση δεν γίνεται 192.168.1.77 αλλά 192.168.1.4ή.6 δεν θυμάμαι ακριβώς).Αν δεν έχει την επιλογή dhcp όταν δίνω την εντολή ifconfig δεν βγάζει καν σαν κάρτα την eth0.

    • Ion | 28/03/2012 at 21:26

      Το πώς βάζεις στατική IP είναι κάτι που έχει αναλυθεί αρκετά. Μπορείς να ψάξεις και online πηγές αν δεν καλύπτεσαι από το άρθρο, το config file στο οποίο μπήκε απλά ως υπόδειξη. Πάντως μπορείς να προχωρήσεις και με DHCP. Το να έχεις στατική IP βοηθάει αλλά δεν είναι απαραίτητο. Απλά φρόντισε αργότερα να κάνεις το σωστό port forwarding και να συνδέεσαι στη σωστή IP όταν θες να βλέπεις τα αποτελέσματα.

    • subZraw | 29/03/2012 at 09:04

      Για το πώς μπαίνει static IP στο Ubuntu Server υπάρχει κι ένα σχετικό αρθράκι στο

      http://parabing.com/2011/05/07/make-ubuntu-server-11-04-use-a-static-ip-address/

      Μου έχει πάντως κάνει κι εμένα εντύπωση το γεγονός ότι αρκετοί χρήστες συναντούν προβλήματα με τη διαδικασία… Και το εκπληκτικό είναι ότι ακούς για προβλήματα από ανθρώπους που ξέρουν τι κάνουν. Έχω αρχίσει να υποψιάζομαι ότι κάποιον ρόλο παίζει κι ο εκάστοτε (ADSL) router…

  8. VRsMAker | 28/03/2012 at 14:20

    (άκυρο το είναι :D)

  9. Filippos | 29/03/2012 at 12:52

    Να ενημερώσω κι εγώ για τα αποτελέσματα: ο 1ος “attacker” μας επισκέφθηκε μέσα σε 2 ώρες μόλις. Eως τώρα: 804 fail attempts και 14 που συνδέθηκαν. Εϊναι 3 μέρες up και πρέπει να πω πως έχω μείνει ενθουσιασμένος με το kippo-graph ειδικά. Συγχαρητήρια

    Υ.Γ: Οι περισσότεροι επιτηθέμενοι κατεβάζουν στο μηχανάκι μας irc bots παρά exploits :D

    • subZraw | 29/03/2012 at 12:57

      Χαχα, πονηροί οι βλάχοι! Πέρα απ’ την πλάκα, πρόκειται περί συνηθισμένης πρακτικής τα τελευταία χρόνια: Οι attacker δεν νοιάζονται τόσο για το σύστημά σου, ούτε βέβαια έχουν κύριο στόχο να προκαλέσουν ζημιές. Αυτό που κυρίως τους ενδιαφέρει είναι να βρίσκονται εκεί, ήσυχα και διακριτικά. Κι όταν βέβαια έλθει η ώρα το software που έχουν εγκαταστήσει θα ξυπνήσει και το μηχάνημα θα γίνει ενεργό μέλος μιας μεγάλης στρατιάς, η οποία, π.χ., θα εξαπολύσει ένα DDoS!

  10. Filippos | 29/03/2012 at 13:01

    Ισχύει αυτό! Η πλάκα είναι ότι συνδέθηκα στον irc server του, αφού ανέλυσα λίγο το bot script ώστε να έχω ίδιο ident, nickname που να μοιάζει με την botnet του και έκατσα και παρακολουθούσα τις DDoS commands που έδινε στα zombies και σε εμένα :P

    • subZraw | 29/03/2012 at 13:10

      Πωπωπω, μιλάμε δεν υπάρχει καλύτερος τρόπος για να μαθαίνει κανείς πώς σκέφτονται/δρουν αυτοί οι “προκομμένοι”!

      Have fun, BTW :D

      • Filippos | 29/03/2012 at 13:15

        Ναι είναι διασκεδαστικό και ταυτόχρονα χρήσιμο ειδικά για τους network/system administrators.

        Τhanks :)

  11. VRsMAker | 29/03/2012 at 14:25

    Τελικά προχώρησα χωρίς να έχω static ip.Στην εγκατάσταση του phpmyadmin δεν μου ζήτησε κωδικό αλλά εκτός από το ερώτημα που είχε για τον server (που επέλεξα τον apache2) είχε και ένα άλλο στο οποίο πάτησα όχι δηλαδή να μην εγκατασταθεί μία εφαρμογή που είχε για να γίνει κάτι αυτόματα και όχι… manually δεν ξέρω αν αυτό έχει κάποια σημασία.

  12. VRsMAker | 29/03/2012 at 14:52

    Λίγη βοήθεια ακόμα, όλα στραβά μου πάνε!
    Όταν φτιάχνω τον χρήστη kippo για το mysql και πάω να κάνω σύνδεση με αυτόν (mysql -u kippo -p) μου ζητάει κωδικό βάζω εγώ αυτόν που έβαλα (για το περιοδικό honeypotpassword) και δεν τον δέχεται!Προσπάθησα 5-6 φορές και δεν τον δεχόταν.Έφτιαξα και άλλο χρήστη με το όνομα kippos και πήγα να κάνω σύνδεση και πάλι δεν δεχόταν τον κωδικό που είχα δώσει.

    ERROR 1045 (28000) : Access denied for user ‘kippos’@’localhost’ (using password: YES)

  13. VRsMAker | 29/03/2012 at 16:32

    Ως δια μαγείας όταν άρχισα να το κάνω από την αρχή όλο αυτό με host machine τα windows όλα τα προβλήματα λύθηκαν (δεν ξερω βέβαια να κάνω port forwarding στο router μου αλλά που θα μου πάει…θα το μάθω και αυτό) :D

  14. VRsMAker | 30/03/2012 at 18:19

    Μήπως ξέρετε σε ποιά διεύθυνση μπαίνει ο attacker και βασικά πώς βρίσκει αυτό το σύστημα;

    • subZraw | 31/03/2012 at 08:04

      Ο attacker χρησιμοποιεί αυτοματοποιημένα scripts τα οποία υπό μία έννοια σαρώνουν το ίντερνετ. Η διεύθυνση που βλέπει όταν σου επιτίθεται είναι η δημόσια του router σου, αυτή δηλαδή που σου δίνει ο ISP σου.

  15. giwrg98 | 01/04/2012 at 14:25

    Εγώ δεν έχω καταλάβει τις διαφορές μεταξύ των κατηγοριών honeypots :/

    • subZraw | 01/04/2012 at 14:35

      Θα κάνουμε αυστηρότατη παρατήρηση στον συγγραφέα του άρθρου, ώστε άλλη φορά να μας τα γράφει καλύτερα :P

      Πέρα απ’ την πλάκα, προσωπικά δεν μπορώ να φανταστώ τι σε δυσκόλεψε :( Πάντως οι διαφορές στις οποίες αναφέρεσαι περιγράφονται αναλυτικά στο άρθρο της σελίδας 12…

  16. giwrg98 | 01/04/2012 at 16:38

    Εμένα για κάποιο λόγο, το phpmyadmin δεν μου εμφανίζει τις απόπειρες στο auth ούτε άλλα δεδομένα σε άλλα tables :/

    • giwrg98 | 01/04/2012 at 16:48

      Επίσης όταν πάω να κάνω port forwarding από το matr-x router μου στην επιλογή virtual services μου βγάζει μήνυμα:
      Since port 22 is used, the DSL router
      SSH server port will be moved to 2222.
      Τι κάνω τώρα;

      • Ion | 01/04/2012 at 18:00

        Από ότι καταλαβαίνω το router σου τρέχει SSH server και αυτό, οπότε αφού χρησιμοποιείς τη θύρα 22 για port forwarding στο VM σου, αλλάζει αυτόματα τη δική του θύρα σε 2222 για να μη χάσεις τη δυνατότητα διαχείρισης του μέσω SSH. Δεν νομίζω ότι είναι πρόβλημα ;)

    • Ion | 01/04/2012 at 17:56

      Λογικά έχεις κάνει κάποιο λάθος, όπως ο φίλος παραπάνω. Ξαναδές προσεκτικά τη διαδιμασία δημιουργίας Χρήστη MySQL + Βάσης Δεδομένων + ενεργοποίηση της καταγραφής στο configuration file του Kippo.

      • giwrg98 | 01/04/2012 at 19:05

        Καταρχήν να ‘σαι καλά και για τα δυο σου απαντήσεις!
        Τώρα θα χρειαστεί να απεγκαταστήσω το kippo ή να επαναλάβω την διαδικασία δημιουργίας του χρήστη, της βάσης; Όταν λες ενεργοποίηση της καταγραφής εννοείς την επεξεργασία του config.php;

        • Ion | 01/04/2012 at 21:31

          Αυτό που θα χρειαστεί να κάνεις είναι επανάληψη της διαδικασίας της ενότητας “Εγκατάσταση και ρύθμιση του Kippo”. Προφανώς για ό,τι έχεις κάνει ήδη σωστά θα πάρεις κάποιο μήνυμα/warning (πχ ότι η βάση δεδομένων kippo υπάρχει ήδη), όπου εκεί απλά συνεχίζεις παρακάτω. Στο αρχείο kippo.cfg τελικά, πρόσεχε να κάνεις uncomment τις γραμμές που αναφέρονται και να βάλεις σωστά στοιχεία σύνδεσης με τη βάση.

          • giwrg98 | 01/04/2012 at 23:12

            Πειράζει που όταν κάνω sign in στη mysql με βάζει μόνο με username kippo@localhost αντί για σκέτο kippo;

  17. giwrg98 | 03/04/2012 at 20:21

    Βασικά είχα ένα λάθος εκεί πέρα που έκανα προσβάσιμη τη βάση kippo είχα γράψει ‘kippo@localhost’ αντί για ‘kippo’@’localhost’. Αλλά τώρα δε μου δείχνε καθόλου τις εικόνες: http://min.us/mkG45UoZS

    • Ion | 05/04/2012 at 22:33

      Για να μην βγαίνουν αποτελέσματα συμβαίνει ένα από τα δύο: α) είτε δεν δουλεύει σωστά και πάλι η καταγραφή σε MySQL, το οποίο μπορείς εύκολα να διαπιστώσεις κάνοντας μερικές δοκιμές σύνδεσης και κοιτώντας το phpmyadmin, β) είτε δεν έκανες σωστή εγκατάσταση του Kippo-Graph, όπως περιγράφεται εδώ: http://deltahacker.gr/2012/03/12/kippo-graph/ (για παράδειγμα αλλαγή δικαιωμάτων -chmod 777- του φακέλου generated-graphs).

  18. giwrg98 | 28/04/2012 at 14:03

    Οκ, όλα μοιάζουν να δουλεύουν εκτός από το ότι δεν βλέπω τίποτα στο auth! Όταν είχα κάνει μερικές αποτυχημένες προσπάθειες δούλευε (μετά τις διέγραψα, δεν ξέρω αν παίζει ρόλο) και τώρα δεν υπάρχει καμια δραστηριότητα. Υπάρχει κάποιος τρόπος να τσεκάρω μήπως τρέχει κάτι με το port forwarding;

    • Ion | 28/04/2012 at 16:04

      Μπορείς να βάλεις στο PuTTY την public IP σου (whatismyip.com), να συνδεθείς με SSH και να δεις αν θα σου βγάλει την κονσόλα σύνδεσης του Kippo VM, που πάει να πει ότι δουλεύει σωστά. Αν όμως σου λέει ότι connection refused ή timed out κλπ ή σου ανοίξει κονσόλα μεν αλλά είναι του router σου και όχι του VM (δοκίμασε root/123456 για να καταλάβεις), κάτι δεν πάει καλά.

      • giwrg98 | 28/04/2012 at 16:20

        Τη public ip του VM δεν πρέπει να βάλω;

        • Ion | 28/04/2012 at 20:05

          Public IP έχεις μία, αυτήν του router σου (εκτός αν έχεις πληρώσει για περισσότερες :D). Τα μηχανήματα εντός του δικτύου σου χρησιμοποιούν private IPs (NAT). Το port forwarding κάνει ακριβώς αυτό, λέει δηλαδή σε ποιά από τις πολλές private IPs (μία από τις οποίες έχει το Kippo VM) να προωθεί (forward) τις συνδέσεις και τα δεδομένα που πηγαινοέρχονται σε μια συγκεκριμένη port της public IP. Άρα θα πρέπει να βάλεις την public IP σου όπως φαίνεται στο site που έγραψα. Αν έχεις κάνει σωστό port forwarding η αίτηση για σύνδεση που κάνεις με το PuTTY θα προωθηθεί στην private IP του Kippo VM.

          • giwrg98 | 29/04/2012 at 11:28

            Τελικά το έκανα από ένα άλλο PC στο τοπικό μου δίκτυο αλλά μου βγάζει Connection Refused

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων