1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

Kippo ssh honeypot

Discussão em 'Novidades GNU/Linux & *nix World' iniciada por Nemesis11, 27 de Fevereiro de 2013. (Respostas: 23; Visualizações: 3270)

  1. Nemesis11

    Nemesis11 Power Member

    [​IMG]

    Hoje em dia existem milhões de máquinas ligadas à Internet com serviços abertos. Isso é sempre um risco e é uma certeza que vão haver pessoas que vão tentar tomar proveito das falhas de segurança que esse serviço poderá ter.

    Kippo é um honeypot que simula uma máquina com um serviço ssh vulnerável. Na realidade, quem está a ser vigiado é os atacantes que acedem à máquina que pensam ser vulnerável.

    Este é o primeiro de dois artigos sobre o Kippo. Nesta primeira parte, mostro como instalar e configurar este honeypot.
    No segundo artigo, vou apresentar e analisar os resultados de correr este honeypot ao fim de um mês.

    O primeiro artigo encontra-se neste link. O segundo virá dentro de alguns dias, que depois adicionarei a esta thread.

    Espero que gostem :).
     
  2. muddymind

    muddymind 1st Folding then Sex

    Lol!

    Nunca me tinha passado pela cabeça fazer uma cena destas :-D

    Isto faz-me lembrar quando usava um servidor linux para partilhar uma net 3G (zona rural que na altura não tinha sinal ADSL em condições devido à distância) e sempre que ia ver os logs da firewall até me assustava! Desde tentativas de login na porta de SSH (com logins do tipo admin, root e afins), chamadas na porta 80 para sistemas de login de servidores de mail tipo horde a tentativas de acesso às portas FTP. Isto por vezes tinha uma cadência de 10-15 pedidos por segundo! Ainda andei a brincar um pouco com aquilo a fazer um mapa de origens dos pedidos com um script simples (há imensos exemplos de scripts se procurarem no google) e vinham mesmo de todo o lado do mundo excepto África :-D Seja como for é por estas e por outras que qualquer componente de servidor assim que tenha uma falha de segurança publicamente conhecida deve ser logo actualizado ou retirado da rede.
     
  3. Crusher

    Crusher Power Member

    Há uns anos depois de configurar um router, poucos minutos depois alguém já tinha acedido por SSH (não tinha alterado o admin password) :-)

    Já pensei em correr um honeypot só para testar... a ideia é boa mas penso que só serve mesmo para atrasar a acção de atacantes. Mesmo correndo numa máquina virtual, é necessário proteger bem a firewall e limitar o número de tentativas de login.

    Acho que numa primeira fase nem me atreveria correr isso num ambiente empresarial...
     
  4. Nemesis11

    Nemesis11 Power Member

    No segundo artigo mostro o que aconteceu, com o Kippo-Graph, ao fim de um mês, que só acaba no dia 6.

    A maior parte das coisas são previsíveis. É interessante quando os acessos não são o tipico bot.

    Eu vejo isto como uma curiosidade.Não sei se usaria a nível empresarial, nem sei mesmo se seria muito útil.

    Uma coisa posso já dizer antes de passar um mês. A quantidade de botsque têm origem na china é mesmo muito alta.
     
  5. BlkLotus

    BlkLotus Folding Member

    Qual é o IP do teu hpot? :o

    Já agora, participava também nas estatísticas :007:
     
  6. Nemesis11

    Nemesis11 Power Member

    O problema de dizer qual é o endereço do meu honeypot é que estraga as estatísticas no Kippo-Graph, porque ninguém vai comportar-se com "normalidade" em algo que sabe que é um honeypot.
    Quanto mais real for a simulação, mais interessante é.
    Além disso, até dia 6 vai estar a recolher dados, que depois vão aparecer na segunda parte do artigo. Iriam aparecer, por exemplo, nas estatísticas coisas feitas por pessoas que sabem que aquilo é um honeypot.

    Ele está numa ligação residencial. O kippo metido num ip publico que seja muito conhecido, tipo um site famoso, deve ser ainda mais interessante.

    Dito isto, mesmo numa ligação residencial tem bastante piada.

    Nesta altura, vou com 17790 tentativas de login, por 123 ips diferentes, com 151 tentativas com sucesso.
    Já tentaram instalar 3 rootkits, que foram feitos download de pelo menos um site legitimo, que nem deve saber que estão a fazer host de malware.

    Depois de dia 6, na segunda parte, mostro os gráficos e os números com muito mais detalhe.
     
  7. BlkLotus

    BlkLotus Folding Member

    Cá espero :cool:

    Btw, bom artigo.
     
  8. petersaints

    petersaints Power Member

    Por acaso também estou interessado nos resultados. Tenho um Raspberry Pi com SSH aberto ao mundo (e mais alguns serviços) e realmente às vezes tenho receio. Mas como me dá jeito lá tem que ser.
     
  9. PapiMigas

    PapiMigas Power Member

    O que eu tenho feito para tentar proteger os meus servers é configurar o fail2ban e receber por email os relatórios.
    70% das tentativas de logins são oriundas da China :)
    Quanto a este honeypot é mais uma pérola do open-source que me dás a conhecer.
    Obrigado, Nemesis :) LikeIt
     
  10. Camuflage

    Camuflage Power Member

    Acho um conceito interessante, porque não criares umas pastas com bogus files por exemplo "Ufo project" ou "top secret industry secrets", "NATO Europe campaigns" e tretas do género para ver quais os que sofrem mais tentativas de download/visualização/acesso?

    Posta estatisticas por país e quantas tentativas de acesso houve (desde o país que mais tentou penetrar ao que menos tentou), métodos usados etc.
     
  11. Nemesis11

    Nemesis11 Power Member

    A nível de risco directo, preocupa-te mais com os outros serviços do que propriamente o ssh. Se tiveres uma configuração minimamente segura do ssh, duvido que seja por aí que consigam aceder ao sistema.
    Os ataques que tenho visto ao serviço de ssh são normalmente simples e de brute force. Já vi tentarem por certificados em vez de passwords, mas é raro.
    Claro que depois de um ataque com sucesso a outro serviço, o ssh poderá ser usado. Depois de, por exemplo, criar um utilizador ou escalar privilégios.

    A nível geográfico, o Kippo-graph dá-me o top 10 a nível de intensidade. Mesmo fora do top 10, a China é de longe o país onde têm mais origem os ataques.
    No entanto, da China, só vejo bots e não ataques feitos por humanos. Não tenho tanta certeza que quem controla os bots na China sejam Chineses, pelo menos em parte dos casos.

    Antes de fazer o snapshot de filesystem para o Kippo apresentar, criei umas pastas. Foi também depois de instalar o mysql e apache. Chamei a máquina também de "webserver".
    No entanto, até agora, não tenho visto qualquer interesse nisso.
     
  12. Nemesis11

    Nemesis11 Power Member

    [​IMG]

    Na primeira parte deste artigo, mostrei como instalar e configurar o Kippo como honeypot de ssh.

    Neste segundo artigo, mostro os resultados de correr o Kippo ao fim de um mês. Que tipo de ligações existem. Que tipo de comandos são passados. De onde vêm as ligações, entre outras coisas.

    A segunda parte do artigo encontra-se no Portal, neste link.

    Espero que gostem. :)
     
  13. nfk

    nfk Power Member

    O cucu/nu-e-bun intrigou-me. Procurando no Google, um dos primeiros hits é o teu artigo, e há mais alguns de honey pots, mas nos primeiros resultados não vi nenhuma explicação. Parecem ser palavras romenas.

    Em relação a passwords, li um artigo há pouco tempo que dizia que por causa dos leaks que vai havendo de grandes bases de dados de passwords, as técnicas de ataque estão cada vez mais sofisticadas, por isso convém ter passwords longas e aleatórias.
     
  14. Nemesis11

    Nemesis11 Power Member

    É verdade que aquele é apenas o top 10 de passwords. Eu costumo ter um "tail -f" em cima do kippo.log e vê-se muitas mais passwords e mais complexas.

    Uma coisa que tenho pena é ter o Kippo em cima de uma ligação residencial e como muda o ip mais ou menos de 3 em 3 dias, pode não dar tempo aos bots passarem a informação aos humanos de como está ali um servidor ssh "aberto ao mundo".

    Uma das coisas que fiquei admirado é os bots em si não fazerem nada. Simplesmente fazem brute force de passwords e quando acertam uma, saem.
    Também fiquei admirado de haver tão pouca actividade humana, mas isso pode ser o facto que descrevi acima de estar numa ligação residencial. Com um ip fixo, esta honeypot deve ser mais interessante.
     
  15. Camuflage

    Camuflage Power Member

    Estive a ver a análise e gostei, apesar de considerar ainda preliminar. Tenta nomear a máquina para algo que pareça ser uma empresa ou corporação, aumentarás assim as hipóteses de apanhar mais peixes. Coloca mais coisas no disco com vários ficheiros diferentes para dar aparentar ao máximo a ilusão de que se trata de um servidor de algo importante, desta forma os bots irão transmitir a info aos donos que poderão achar interessante ir espreitar a máquina.
    Se for possível mantém a máquina ligada por um total de 6 meses.
     
  16. Nemesis11

    Nemesis11 Power Member

    A máquina tem o nome de webserver e no snapshot que fiz tem o apache, mysql e mais alguns ficheiros interessantes.
    No entanto não sei se me fiz perceber em relação aos bots. O comportamento que vi dos bots (de todos os bots) é que quando acertam num user e password, saem logo da máquina no segundo seguinte. Não vêm qualquer propriedade da máquinas nem correm qualquer comando.
    A meu ver, o que os bots fazem é apenas logar que tiveram sucesso e mais nada. Ainda não vi um único bot tomar qualquer acção quando acede a uma máquina.

    Em relação ao honeypot, vou deixa-lo a correr e continuar a ver o que aparece.
     
  17. Camuflage

    Camuflage Power Member

    Os bots muito provavelmente identificam a máquina que está ligada e pode ser um alvo, registado as portas abertas, range de ip's e o software usado (para potencialmente o owner mais tarde escolher que exploit usar). Na minha opinião os bots são scouts aliviam o trabalho do owner reunindo informações, depois o mesmo decide o que fazer.

    Será que eles registam o uptime da máquina? Tenho ideia que essa possa ser também uma forma de decidir se a mesma é interessante ou não. Por outro lado li recentemente que um hacker/cracker experiente sabe bem diferenciar um honeypot de um alvo real.

    Seria interessante registar algo como isto: http://www.youtube.com/watch?v=gsytGk9kqbQ
     
  18. whitelines

    whitelines Power Member

    Interessante, e curioso a quantidade de ataques/tentativas por dia.

    Vou experimentar um meu, há maneira de fazer reset ao kipp graph?
     
  19. barricas

    barricas Power Member

    Isto lembra-me quando tinha as portas comuns dos serviços (ftp, ssh) no meu servidor. Como tenho o CSF (ConfigServer & Firewall), tenho aquilo para enviar emails.
    Quando não tinha autenticação por keys no ssh era aos montes por dia de tentativas falhadas (na boa 30-50)!! Depois de meter autenticação por key, baixou BASTANTE. E depois de retirar estes serviços das portas comum já nem tenho. Agora só recebo emails por bloqueamentos devido a port-scans.
     
  20. Nemesis11

    Nemesis11 Power Member

    Em relação ao uptime, se for o da máquina, não, porque eles não correm qualquer comando. Esse é um dos outputs que está alterado. O output do comando uptime dá um valor muito alto.
    Se for o valor de à quanto tempo vêm a máquina na internet, é possível. Não sei.

    Quanto a registar um video, ele tem uma ferramenta para fazer replay dos logs e mostrar no terminal o que foi feito, como se fosse em real time. Só não sei como capturar um video do terminal.

    A forma que vejo é fazer drop da base de dados, cria-la de novo e voltar a importar o schema e dar as permissões, tudo de novo.
     

Partilhar esta Página