www.morihi-soc.net

セキュリティの話題を中心に取扱中

ハニーポット観察記録(11)

※2015年5月22日追記

Kippo のインストール方法について再度紹介した記事を作成しました.
こちらをご参照ください.

ハニーポット観察記録(25) http://www.morihi-soc.net/?p=483


Kippo という SSH ハニーポットのインストールについて説明します.

公式サイト

http://code.google.com/p/kippo/

 

インストールに使用する OS は Ubuntu 12.04.3 LTS(64bit)です.

インストール作業前にファイアウォールの設定をしておきます.3つのポートを使用します.

  • 22/tcp・・・kippo 用.ufw を用いて,2222/tcp へポートフォワードする.
  • 2222/tcp・・・kippo 用.kippo 自身がが待ち受けする.
  • 10022/tcp・・・ホストの管理用.OpenSSH の設定(/etc/ssh/sshd_config)で 10022 にしていることが前提.環境に合わせて,適宜変更してください.

なぜこんなにポートを開ける必要があるのかというと,Kippo はユーザ権限でしか起動ができないようになっており,22/tcp で待ち受けできません.そのため HIGH PORT の 2222/tcp で待ち受けし,22/tcp をポートフォワードするという形式を取っています.

Ubuntu はファイアウォールとして,iptables を直接叩くのではなく,ufw コマンドで制御します.

$ sudo ufw default deny
$ sudo ufw allow 2222
$ sudo ufw allow 10022
$ sudo ufw enable
※yを入力する.

次に,ポートフォワードの設定をします.

$ sudo vi /etc/ufw/before.rules

*filter より前に下記の4行を追記する.

*nat
:PREROUTING ACCEPT [0:0]
-A PREROUTING -p tcp –dport 22 -j REDIRECT –to-port 2222
COMMIT

 

次に ufw を再起動します.

$ sudo ufw reload

 

以上でファイアウォールの設定は終わりです.念のため管理用のポート(上記の場合は,10022/tcp)で SSH 接続可能であることを確認してください.

次にインストールを始めます.

 

$ sudo apt-get install -y python2.7-twisted

 

続いて kippo をインストールします.といっても tar ボールを展開するだけです.

$ cd /opt
$ sudo wget http://kippo.googlecode.com/files/kippo-0.8.tar.gz
$ sudo tar zxvf kippo-0.8.tar.gz
$ cd kippo-0.8/

kippo を起動してみます.

$ ./start.sh

 

他のホストから kippo を動かしたホストに対し,SSH(22/tcp)で接続テストしてみてください.接続するときのアカウントは root でパスワードは 123456 です(デフォルトの場合).

 

接続後,ログが取得できているか確認します.接続時のログは下記のディレクトリに保存されています.

/opt/kippo-0.8/log/tty/

このディレクトリのログファイルは特殊な形式で保存されており,ログファイルを再生するプログラム(utils/playlog.py)が用意されています.

$ /opt/kippo-0.8/utils/playlog.py /opt/kippo-0.8/log/tty/ログファイル

 

デフォルトのアカウントは root しかないので,もし他にアカウントを追加したり,root のパスワードを変更する場合は次のファイルを編集します.

/opt/kippo-0.8/data/userdb.txt

Kippo 自体はもう数ヶ月動かしていますが,結構面白いログが収集できます.攻撃者が侵入後に何をするのか,じっくり観察できますし,何より攻撃者も人間だということがよく分かります.

どんなログが取れるかは,Youtube に公開したものがあるので,是非こちらも参照してください.

 

参考情報

ハニーポット観察記録(3)

Written by morihisa

10月 30th, 2013 at 9:59 pm