PROJET AUTOBLOG


Tiger-222

Site original : Tiger-222

⇐ retour index

Pot de miel en vue sur le port 22

lundi 20 janvier 2014 à 03:03
Un pot de miel (honeypot en anglais) est un moyen efficace de piéger les attaquants d'un système en leur faisant croire qu'ils ont réussi. Il est alors possible de voir et comprendre comment ils ont fait. Cela s'appelle de la défense active.

drunk-bee.jpg
« Argh... meehh ! Tu sais où tu peux t'le mettre ton dard ‽ »


Faisons un test avec SSH qui, par défaut, utilise le port 22. Kippo est le pot de miel parfait pour ça !


Installation


Avant toute chose, redirigez le port 22 de votre routeur pour qu'il pointe vers le port 2222 (par défaut) de votre machine, ensuite :
$ sudo aptitude install python-twisted
$ wget https://kippo.googlecode.com/files/kippo-0.8.tar.gz
$ tar xzf kippo-0.8.tar.gz
$ cd kippo-0.8


Paramétrage


Dans le fichier kippo.cfg, vous pouvez ajuster quelques options pour faire plus vrai, comme hostname et banner_file. Le premier sert à définir le nom de la machine et le second à afficher la bannière de connexion, généralement le contenu de /etc/motd. Exemple :

             `` Le serveur à la s@uce... ,,
_@-@_ ____ _ _____ _ ____ .----. @ @
_(-._.-)_ | __ ) ___ | |__ __|_ _(_)/ ___| / .-"-.`. \v/
.-( `---' )-. | _ \ / _ \| '_ \ / _ \| | | | | _ | | '\ \ \_/ )
__\ \\\___/// /__ | |_) | (_) | |_) | (_) | | | | |_| | ,-\ `-.' /.' /
'-._.'/M\ /M\`._,-` |____/ \___/|_.__/ \___/|_| |_|\____| '---`----'----'



Dans le fichier data/userdb.txt, vous pouvez ajouter d'autres couples utilisateur:mot de passe.


Exécution et éclate


Pour démarrer le pot de miel, il suffit de faire :
$ ./start.sh

Et pour vous fendre la gueule, vous pouvez revivre les différentes attaques :
$ python utils/playlog.py log/tty/aaaammdd-hhmmss-XXXX.log


Sources : Running an SSH honeypot with Debian and Kippo et Installing Kippo SSH Honeypot on Ubuntu