{"id":720,"date":"2014-12-06T21:46:58","date_gmt":"2014-12-06T20:46:58","guid":{"rendered":"http:\/\/under12oot.noblogs.org\/?p=720"},"modified":"2014-12-06T22:26:34","modified_gmt":"2014-12-06T21:26:34","slug":"qualcosa-su-kippo","status":"publish","type":"post","link":"https:\/\/under12oot.noblogs.org\/?p=720","title":{"rendered":"Qualcosa su kippo"},"content":{"rendered":"<p>Un p\u00f2 di tempo fa, circa un anno, vi avevo parlato di <a title=\"kippo\" href=\"https:\/\/under12oot.noblogs.org\/kippo-honeypot\/\" target=\"_blank\">kippo<\/a>, un\u00a0 <em>honeypot<\/em> ben fatto e di facile installazione\/manutenzione, tra alti e bassi, diverse installazioni\/rinunce e via dicendo nell&#8217; ultimo mese e mezzo le cose <em>non stanno andando come speravo<\/em>&#8230; sostanzialmente non sto trovando <em>nulla di interessante<\/em>. Nel dettaglio c&#8217;\u00e8 sempre il solito<em> bot<\/em> che fa sempre la <em>stessa cosa<\/em>, vi riporto i <em>log<\/em> cos\u00ec capite:<\/p>\n<p><em>honey@raspberrypi ~\/kippo-0.8\/log $<\/em> <strong>cat kippo.log.1 |grep 12:15:<\/strong><br \/>\n2014-12-06 12:15:29+0000 [SSH..,14589,117.27.158.78] root trying auth password<br \/>\n2014-12-06 12:15:29+0000 [SSH..,14589,117.27.158.78] login attempt [root\/admin] failed<br \/>\n2014-12-06 12:15:29+0000 [SSH..,14588,117.27.158.78] root trying auth password<br \/>\n2014-12-06 12:15:29+0000 [SSH..,14588,117.27.158.78] login attempt [root\/123456] succeeded<br \/>\n2014-12-06 12:15:29+0000 [SSH..,14588,117.27.158.78] root authenticated with password<br \/>\n2014-12-06 12:15:29+0000 [SSH..,14588,117.27.158.78] starting service ssh-connection<br \/>\n2014-12-06 12:15:30+0000 [SSH..,14588,117.27.158.78] got channel session request<br \/>\n2014-12-06 12:15:30+0000 [SSH..,14588,117.27.158.78] channel open<br \/>\n2014-12-06 12:15:30+0000 [-] root failed auth password<br \/>\n2014-12-06 12:15:30+0000 [-] unauthorized login:<br \/>\n2014-12-06 12:15:30+0000 [SSH..,14588,117.27.158.78] asking for subsystem &#8220;sftp&#8221;<br \/>\n2014-12-06 12:15:30+0000 [SSH..,14588,117.27.158.78] {}<br \/>\n2014-12-06 12:15:30+0000 [SSH..,14588,117.27.158.78] failed to get subsystem<br \/>\n2014-12-06 12:15:31+0000 [SSH..,14588,117.27.158.78] remote close<br \/>\n2014-12-06 12:15:31+0000 [SSH..,14588,117.27.158.78] sending close 0<br \/>\n<em>honey@raspberrypi ~\/kippo-0.8\/log $<\/em><\/p>\n<p>Qui c&#8217;\u00e8 tutto l&#8217; ultimo log, diviso in 3 parti:<\/p>\n<p><a href=\"http:\/\/pastebin.com\/jqg0VMNs\" target=\"_blank\">http:\/\/pastebin.com\/jqg0VMNs<\/a><\/p>\n<p><a href=\"http:\/\/pastebin.com\/cUB9QCy4\" target=\"_blank\">http:\/\/pastebin.com\/cUB9QCy4<\/a><\/p>\n<p><a href=\"http:\/\/pastebin.com\/mtQVEyLG\" target=\"_blank\">http:\/\/pastebin.com\/mtQVEyLG<\/a><\/p>\n<p>Cosa succede? Succede che una volta trovata la<em> psw di root<\/em> il bot richieda <em>sftp<\/em>, non trovando il servizio esce e <em>ricomincia da capo<\/em>, trova la <em>psw di root<\/em> e richiede il servizio di <em>sftp<\/em>, e cos\u00ec continua in<em> eterno!<\/em> Il che \u00e8 inutile\/ridicolo\/poco interessante&#8230;.<\/p>\n<p>Facendo un giro in rete ho trovato altri che <em>hanno notato<\/em> questo comportamento e quindi un<a href=\"http:\/\/tinyurl.com\/ljngarz\" target=\"_blank\"> fork di kippo<\/a> in cui c&#8217;\u00e8 la possibilit\u00e0 di poter abilitare sftp \u00e8 proprio <em>quel che servirebbe<\/em> per vedere cosa c@$$o succede una volta il bot trova sto c@$$o di sftp. Se avete dato un&#8217;occhiata al log che ho linkato sopra noterete che gli accessi sono dai 5 ai 9 <em>quotidiani<\/em> e succede sempre la stessa cosa! Demoralizzante&#8230;<\/p>\n<p>Facendo un <em>reverse<\/em> possiamo vedere che la maggior parte degli attacchi proviene sempre dalla stessa <em>botnet<\/em>.<\/p>\n<p>l&#8217;IP 103.41.124.15 proviene da Hong Kong<\/p>\n<p>il 122.225.109.103 da Huzhou, Zhejiang in China come anche il 122.225.103.95\u00a0 e il 122.225.109.106 da Huzhou in China sono tutti nella stessa rete.<\/p>\n<p>il 212.83.172.29 invece \u00e8 francese, e almeno che non sia gi\u00e0 rotato l&#8217;ip<\/p>\n<p><em>sudo nmap -sS -sV -O 212.83.172.29 -P0<\/em><\/p>\n<p>PORT\u00a0\u00a0\u00a0\u00a0\u00a0 STATE SERVICE\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 VERSION<br \/>\n135\/tcp\u00a0\u00a0 open\u00a0 msrpc\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Microsoft Windows RPC<br \/>\n445\/tcp\u00a0\u00a0 open\u00a0 netbios-ssn<br \/>\n3389\/tcp\u00a0 open\u00a0 ms-wbt-server Microsoft Terminal Service<br \/>\n49154\/tcp open\u00a0 msrpc\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Microsoft Windows RPC<br \/>\nWarning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port<br \/>\nDevice type: general purpose<br \/>\nRunning: Microsoft Windows 7|8|Vista|2008<br \/>\nOS CPE: cpe:\/o:microsoft:windows_7::-:professional cpe:\/o:microsoft:windows_8 cpe:\/o:microsoft:windows_vista::- cpe:\/o:microsoft:windows_vista::sp1 cpe:\/o:microsoft:windows_server_2008::sp1<br \/>\nOS details: Microsoft Windows 7 Professional or Windows 8, Microsoft Windows Vista SP0 or SP1, Windows Server 2008 SP1, or Windows 7, Microsoft Windows Vista SP2, Windows 7 SP1, or Windows Server 2008<br \/>\nService Info: OS: Windows; CPE: cpe:\/o:microsoft:windows<\/p>\n<p>Probabile che sia un <em>zombie e manco lo sappia<\/em>, infettato da qualche malware.<\/p>\n<p>Comunque <em>tornando a kippo<\/em>, mi son gi\u00e0 procurato il fork con l&#8217;sftp, appena ho un attimo<em> libero<\/em> provveder\u00f2 a sostituirlo sulla raspbian e vedremo come andr\u00e0 a finire!<\/p>\n<p><span style=\"text-decoration: underline\">Stay tuned and Happy Hacking<\/span><\/p>\n<p><em>\u00a0noyse<\/em><\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un p\u00f2 di tempo fa, circa un anno, vi avevo parlato di kippo, un\u00a0 honeypot ben fatto e di facile installazione\/manutenzione, tra alti e bassi, diverse installazioni\/rinunce e via dicendo nell&#8217; ultimo mese e mezzo le cose non stanno andando come speravo&#8230; sostanzialmente non sto trovando nulla di interessante. Nel dettaglio c&#8217;\u00e8 sempre il solito [&hellip;]<\/p>\n","protected":false},"author":5820,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3,19],"tags":[65,66,106,104,105,44],"class_list":["post-720","post","type-post","status-publish","format-standard","hentry","category-howto","category-utility","tag-honeypot","tag-kippo","tag-malware","tag-raspberry","tag-raspbian","tag-ssh"],"_links":{"self":[{"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=\/wp\/v2\/posts\/720","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=\/wp\/v2\/users\/5820"}],"replies":[{"embeddable":true,"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=720"}],"version-history":[{"count":4,"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=\/wp\/v2\/posts\/720\/revisions"}],"predecessor-version":[{"id":724,"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=\/wp\/v2\/posts\/720\/revisions\/724"}],"wp:attachment":[{"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=720"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=720"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=720"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}