Pot de miel en vue sur le port 22
lundi 20 janvier 2014 à 03:03Un pot de miel (honeypot en anglais) est un moyen efficace de piéger les attaquants d'un système en leur faisant croire qu'ils ont réussi. Il est alors possible de voir et comprendre comment ils ont fait. Cela s'appelle de la défense active.
« Argh... meehh ! Tu sais où tu peux t'le mettre ton dard ‽ »
Faisons un test avec SSH qui, par défaut, utilise le port 22. Kippo est le pot de miel parfait pour ça !
Avant toute chose, redirigez le port 22 de votre routeur pour qu'il pointe vers le port 2222 (par défaut) de votre machine, ensuite :
Dans le fichier kippo.cfg, vous pouvez ajuster quelques options pour faire plus vrai, comme
Dans le fichier data/userdb.txt, vous pouvez ajouter d'autres couples utilisateur:mot de passe.
Pour démarrer le pot de miel, il suffit de faire :
Et pour vous fendre la gueule, vous pouvez revivre les différentes attaques :
Sources : Running an SSH honeypot with Debian and Kippo et Installing Kippo SSH Honeypot on Ubuntu
« Argh... meehh ! Tu sais où tu peux t'le mettre ton dard ‽ »
Faisons un test avec SSH qui, par défaut, utilise le port 22. Kippo est le pot de miel parfait pour ça !
Installation
Avant toute chose, redirigez le port 22 de votre routeur pour qu'il pointe vers le port 2222 (par défaut) de votre machine, ensuite :
$ sudo aptitude install python-twisted
$ wget https://kippo.googlecode.com/files/kippo-0.8.tar.gz
$ tar xzf kippo-0.8.tar.gz
$ cd kippo-0.8
Paramétrage
Dans le fichier kippo.cfg, vous pouvez ajuster quelques options pour faire plus vrai, comme
hostname
et banner_file
. Le premier sert à définir le nom de la machine et le second à afficher la bannière de connexion, généralement le contenu de /etc/motd. Exemple :
`` Le serveur à la s@uce... ,,
_@-@_ ____ _ _____ _ ____ .----. @ @
_(-._.-)_ | __ ) ___ | |__ __|_ _(_)/ ___| / .-"-.`. \v/
.-( `---' )-. | _ \ / _ \| '_ \ / _ \| | | | | _ | | '\ \ \_/ )
__\ \\\___/// /__ | |_) | (_) | |_) | (_) | | | | |_| | ,-\ `-.' /.' /
'-._.'/M\ /M\`._,-` |____/ \___/|_.__/ \___/|_| |_|\____| '---`----'----'
Dans le fichier data/userdb.txt, vous pouvez ajouter d'autres couples utilisateur:mot de passe.
Exécution et éclate
Pour démarrer le pot de miel, il suffit de faire :
$ ./start.sh
Et pour vous fendre la gueule, vous pouvez revivre les différentes attaques :
$ python utils/playlog.py log/tty/aaaammdd-hhmmss-XXXX.log
Sources : Running an SSH honeypot with Debian and Kippo et Installing Kippo SSH Honeypot on Ubuntu