{"id":407,"date":"2013-11-14T23:53:22","date_gmt":"2013-11-14T22:53:22","guid":{"rendered":"http:\/\/under12oot.noblogs.org\/?p=407"},"modified":"2013-11-14T23:53:22","modified_gmt":"2013-11-14T22:53:22","slug":"kippo-honeypot","status":"publish","type":"post","link":"https:\/\/under12oot.noblogs.org\/?p=407","title":{"rendered":"Kippo HoneyPot"},"content":{"rendered":"

All’hackmeeting 2013 di Cosenza,<\/em> tra i tanti ed interessanti talk ce n’\u00e8 stato uno che mi ha particolarmente attirato. Il talk in questione parlava di HoneyPot<\/a>, ed in particolare di Kippo<\/a> che tra la varie features ne ha una molto carina che consiste nella registrazione video dei comandi eseguiti dall’attaccante, grazie alla quale abbiamo visto una serie di “follie”<\/em> che hanno fatto esplodere dalle risate la sala che ci ospitava, si perch\u00e8 altra feature molto carina \u00e8 il fake del comando “exit”<\/em> quindi l’attaccante pensado di essersi sloggato e di eseguire comandi nel proprio terminale in realt\u00e0 stava ancora digitando all’interno della sessione ssh dell’honeypot, praticamente si resta intrappolati<\/em>!! Fico no?? Comunque oltre al lato “divertente” della cosa, c’\u00e8 un’effettiva utilit\u00e0<\/em> nel creare un’ honeypot: si possono vedere da dove provengono gli attacchi<\/em> per esempio, o capire come si comporta un’attaccante, quali file scarica (exploit o bot)<\/em> , quali file o comandi va cercando<\/em> una volta loggato e via dicendo…<\/p>\n

Bene dopo un p\u00f2 di mesi ho deciso di implementare pure io kippo sul mio “fisso”, approfittando del fatto di essere fuori sede per qualche tempo e quindi di poter lasciare il tutto in funzione. Quello che vado ora ad illustrarvi \u00e8 il procedimento che ho eseguito per\u00a0 installare e configurare kippo ed un paio di accorgimenti<\/em> che ho adottato per rendere il tutto pi\u00f9 “credibile” in pi\u00f9 c’\u00e8 l’opzione facoltativa di loggare il tutto su un db mysql.<\/p>\n

Cominciamo con qualche considerazione: per una questione di sicurezza kippo non deve essere avviato come utente root<\/span><\/em> quindi non possiamo metterlo in ascolto direttamente sulla porta 22 ( linux necessita di privilegi elevati per eseguire i servizi sulle porte < 1024 ) infatti kippo di default si mette in ascolto sulla porta 2222<\/em>, quindi possiamo prendere 2 strade:<\/p>\n

1) scriviamo 1 regola di iptables per forwardare<\/em> il traffico, tipo questa ( il \\ indica che \u00e8 tutto scritto sulla stessa riga<\/em>):<\/p>\n

$ sudo iptables -A PREROUTING -t nat -i eth0 -p tcp \\\r\n --dport 22 -j REDIRECT --to-port 2222<\/span><\/strong><\/pre>\n
2) usare authbind<\/em> che ci permette di eseguire kippo\u00a0 direttamente sulla porta 22<\/p>\n
a) Io ho deciso di utilizzare authbind.<\/em> Quindi come prima cosa andiamo subito a modificare il file di configurazione di ssh<\/em>, in modo da poter raggiungere la nostra macchina senza rimanere intrappolati noi stessi in kippo =)<\/p>\n
$ sudo nano \/etc\/ssh\/sshd_config<\/span><\/strong><\/pre>\n
b) e modifichiamo la porta 22<\/em> con un’altra a nostra scelta, io ho messo 2233, gi\u00e0 che c’ero ho vietato il login a root<\/em>… Riavviamo poi il servizio:<\/p>\n
$ sudo service ssh restart<\/span><\/strong><\/pre>\n
c) Ora prepariamo il nostro sistema installando tutto ci\u00f2 che ci occorre ( il \\ indica che \u00e8 tutto scritto sulla stessa riga<\/em>) :<\/p>\n
$ sudo apt-get install python-dev openssl python-openssl \\\r\npython-pyasn1 python-twisted python-mysqldb mysql-server authbind <\/strong><\/span><\/pre>\n
d) Possiamo ora creare un altro utente con il quale potremo avviare kippo:<\/p>\n
$ adduser honey<\/span><\/strong><\/pre>\n
e) e modifichiamo visudo in modo che il nostro nuovo utente abbia la possibilit\u00e0 di usare sudo<\/em>:<\/p>\n
$ sudo visudo<\/span><\/strong><\/pre>\n
honey\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 ALL=(ALL:ALL) ALL<\/p>\n
f) Finiamo ora la nostra configurazione preparando authbind:<\/p>\n
$ sudo touch \/etc\/authbind\/byport\/22\r\n$ sudo<\/strong> chown honey:honey \/etc\/authbind\/byport\/22\r\n$ sudo<\/strong> chmod 777 \/etc\/authbind\/byport\/22<\/span><\/strong><\/pre>\n
g) Logghiamoci<\/em> con il nostro nuovo utente e scarichiamo l’ultima versione<\/a> di kippo (al momento 0.8)<\/em> all’interno della nostra home, estraiamolo ed editiamo il file di configurazione<\/em> modificando la porta 2222 con la porta 22:<\/p>\n
$ nano kippo.cfg<\/span><\/strong><\/pre>\n
h) E per finire editiamo il file start.sh<\/p>\n
$ nano start.sh<\/span><\/strong><\/pre>\n
modificando la seguente riga:<\/p>\n
twistd -y kippo.tac -l log\/kippo.log --pidfile kippo.pid<\/strong><\/pre>\n
con questa:<\/p>\n
authbind --deep twistd -y kippo.tac -l log\/kippo.log --pidfile kippo.pid<\/strong><\/pre>\n
cos\u00ec possiamo utilizzare authbind per metterci in ascolto sulla porta 22, finito questo passaggio possiamo lanciare kippo, oppure aspetta un attimo e continua a leggere<\/strong>:<\/p>\n
$ .\/start.sh<\/span><\/strong><\/pre>\n
Possiamo assicurarci che la nostra porta sia aperta e kippo in ascolto con:<\/p>\n
$ sudo netstat -antp\r\n\r\n<\/span><\/strong><\/pre>\n
i) Per rendere pi\u00f9 credibile la cosa sarebbe utile popolare la directory \/kippo-0.8\/honeyfs con una struttura del filesystem credile, basta creare altre directory come lo sono nel nostro fs, e magari aggiungere pure qualche file….<\/p>\n
C’\u00e8 un ulteriore passaggio<\/em> che possiamo fare, puramente facoltativo<\/em>, e cio\u00e8 quello di utilizzare mysql per loggare tutto<\/em> quello che succede a kippo… Prima di tutto cominciamo con l’installarlo se gi\u00e0 non l’avete (potete pure optare per phpmyadmin e creare un db, qui faremo tutto tramite terminale):<\/p>\n
$ sudo apt-get install python-mysqldb mysql-server<\/strong><\/span><\/pre>\n
Durante l’ installazione vi verr\u00e0 chiesta la psw di root, cercate qualcosa di non troppo guessabile \ud83d\ude09<\/p>\n
Continuiamo poi con la configurazione del DB (sostituite psw_DB con una vostra password!!! )<\/em><\/p>\n
$ sudo mysql -u root -p<\/strong><\/span><\/pre>\n
> CREATE DATABASE kippo;\r\n> GRANT ALL ON kippo.* TO 'kippo'@'localhost' IDENTIFIED BY 'psw_DB';\r\n> exit<\/strong><\/span><\/pre>\n
 <\/p>\n
Torniamo nella directory di kippo, se avete seguito questa guida sar\u00e0 in \/home\/honey\/kippo-0.8\/doc\/sql<\/em> e carichiamo la struttura delle tabelle che kippo ci mette a disposizione all’interno del nostro DB:<\/p>\n
$ sudo mysql -u honey -p<\/span><\/strong><\/pre>\n
> USE kippo;\r\n> source .\/doc\/sql\/mysql.sql;\r\n> exit<\/span><\/strong><\/pre>\n
A questo punto possiamo ri-loggarci<\/em> come utente honey. Se prima abbiamo avviato kippo ora dobbiamo killare il processo, usando il comando ps -x e poi kill $PID<\/p>\n
$ ps x | grep kippo<\/span><\/strong>\r\n12345 ? Sl\u00a0 0:00 \/usr\/bin\/python \/usr\/bin\/twistd -y kippo.tac -l log\/kippo.log \u2013pidfile kippo.pid<\/strong>\r\n\r\n$ sudo kill 12345<\/span><\/strong><\/pre>\n
Spostiamoci ora nel file di configurazione di kippo<\/em> ed editiamo le seguenti linee decommentandole e aggiustandole<\/em> secondo le impostazioni prese finora:<\/p>\n
$ nano kippo.cfg<\/span><\/strong>\r\n\r\n[database_mysql]\r\nhost = localhost\r\ndatabase = kippo\r\nusername = honey\r\npassword = psw_DB <\/strong><\/pre>\n
Finito!<\/em> Siamo pronti per usare kippo e loggare il tutto tramite mysql…. Per controllare che sia effettivamente in esecuzione usiamo ancora netstat:<\/p>\n
$ .\/start.sh<\/span><\/strong><\/pre>\n
$ sudo netstat -antp<\/span><\/strong><\/pre>\n
Mentre per vedere gli eventi loggati nel DB possiamo usare questa query:<\/p>\n
$ mysql -u kippo -p<\/strong><\/span><\/pre>\n
> USE kippo;\r\n> SELECT * FROM auth;<\/strong><\/pre>\n
 <\/p>\n
Spero che sia tutto chiaro! Se avete qualcosa da aggiungere, da suggerire o da consigliare fatevi avanti!!<\/em> A breve metter\u00f2 qualche log, dopo 2 ore che kippo era in esecuzione ho cominciato a ricevere connessioni, per ora nulla di che, ma appena avr\u00f2 qualcosa di interessante da postare lo far\u00f2!<\/p>\n
Happy Hacking!!<\/em><\/p>\n
noyse_dog<\/em><\/p>\n
\u00a0<\/span><\/strong><\/pre>\n","protected":false},"excerpt":{"rendered":"
All’hackmeeting 2013 di Cosenza, tra i tanti ed interessanti talk ce n’\u00e8 stato uno che mi ha particolarmente attirato. Il talk in questione parlava di HoneyPot, ed in particolare di Kippo che tra la varie features ne ha una molto carina che consiste nella registrazione video dei comandi eseguiti dall’attaccante, grazie alla quale abbiamo visto […]<\/p>\n","protected":false},"author":5820,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[13,65,66],"class_list":["post-407","post","type-post","status-publish","format-standard","hentry","category-howto","tag-hack","tag-honeypot","tag-kippo"],"_links":{"self":[{"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=\/wp\/v2\/posts\/407","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=\/wp\/v2\/users\/5820"}],"replies":[{"embeddable":true,"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=407"}],"version-history":[{"count":6,"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=\/wp\/v2\/posts\/407\/revisions"}],"predecessor-version":[{"id":433,"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=\/wp\/v2\/posts\/407\/revisions\/433"}],"wp:attachment":[{"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=407"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=407"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=407"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}