Fake ssh shell dengan kippo [honeypot] project
#1
Selamat siang menjelang sore hari ...

berbagai adalah sesuatu yang menyenangkan \m/

ok terkadang untuk mempertahankan diri , kita tidak hanya butuh tembok api ( firewall ) namun kita juga membutuhkan trik-trik untuk menipu lawan biasanya dikeluarkan oleh projek honeypot.

kali ini kita belajar untuk menipu attacker yang sering nyoba2 ssh dengan bruteforcing tools seperti hydra ataupun medusa Big Grin ( bruteforce via ssh - default port 22)

Quote:tested on : ubuntu server, backtrack 5 R3 , dracos-linux

Tools yang kita gunakan adalah kippo .. bisa anda download di

[hide]
kippo

fungsional kippo yang di buat oleh bahasa uler ( python ) ini adalah membuat sebuah shell ssh palsu yang memang termasuk sakti untuk ngibulin + bikin gondok bruteforcer ssh

kita unduh dulu file kipponya terus ekstrak di sembarang direktori ..

Kippo tidak dapat anda mainkan via root .. soo kita buat dulu user dan group

Code:
root@dracos:~# groupadd kippo
root@dracos:~# useradd kippo -g kippo -d /home/kippo -s /bin/sh

kalau sudah rubah kepemilikan file kippo yang sudah kita ekstrak tadi

Code:
root@dracos:~# chown kippo:kippo /path/path/kippo/ -R

Kippo menggunakan file konfigurasi untuk setting parameternya ..anda dapat mengeditinya sesuai dengan kebutuhan .. parameternya kurang lebih sebagai berikut

Quote:root@dracos:/defensive/honeyspot/kippo# cat kippo.cfg

[honeypot]

#ssh_addr = 0.0.0.0 --- > dibiarkan saja agar kippo running dengan ip kita secara otomatis
ssh_port = 2222 --- > koneksi port ssh palsunya
hostname = sales --- > ganti dengan root .. biar si attacker seneng Big Grin .. ane ganti jadi [email protected] :p
log_path = log --- > untuk melihat kebodohan attacker sambil ngakak =))
download_path = dl --- > tempat attacker ngedownload Big Grin
contents_path = honeyfs --- > untuk ngedit2 perintah shell palsunya Big Grin
filesystem_file = fs.pickle --- > untuk setting file system pada shell palsunya
data_path = data --- > untuk ngedit2 data2 palsu di terminal palsunya
txtcmds_path = txtcmds --- > untuk ngedit2 output perintah2 pada shell palsunya
public_key = public.key --- > RSA publik key untuk shell palsu
private_key = private.key ---> RSA private key untuk shell palsu
password = 123456 --- > password nih buat attacker .. jgn disusahin biar gampang di bruteforce ama attackernya =)) =))
#out_addr = 0.0.0.0 --- > setting ip address keluar .. kasi aja ip google atau 127.0.0.1 =))=))
#sensor_name=myhostname --- > ngatur hostname sensor
#fake_addr = 192.168.66.254 --- > alamat ip palsu nih Big Grin
#[database_mysql] --- > untuk penggunaan database
#host = localhost
#database = kippo
#username = kippo
#password = secret

note : untuk yang saya beri tanda '#' tidak harus di setting atau di biarkan saja default

ok klo sudah semua konfigurasinya .. kita jalankan kipponya ..esekusi file start.sh dengan user kippo Smile

Code:
root@dracos:/defensive/honeyspot/kippo# su kippo
$ ls
data  doc     honeyfs  kippo.cfg  kippo.tac    private.key  start.sh  utils
dl    fs.pickle  kippo      kippo.pid  log    public.key   txtcmds
$ ./start.sh
Starting kippo in background...Generating RSA keypair...
done.

wesss .. kippo sudah membuat RSA keypair dan bermain sebagai daemon ... dan jika attacker coba2 masuk ... maka

Code:
root@bt:~# ssh [email protected] -p 2222
Password:
[email protected]:~# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:4c:a8:ab:32:f4  
          inet addr:10.98.55.4  Bcast:10.98.55.255  Mask:255.255.255.0
          inet6 addr: fe80::21f:c6ac:fd44:24d7/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:84045991 errors:0 dropped:0 overruns:0 frame:0
          TX packets:103776307 errors:0 dropped:0 overruns:0 carrier:2
          collisions:0 txqueuelen:1000
          RX bytes:50588302699 (47.1 GiB)  TX bytes:97318807157 (90.6 GiB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:308297 errors:0 dropped:0 overruns:0 frame:0
          TX packets:308297 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:355278106 (338.8 MiB)  TX bytes:355278106 (338.8 MiB)

doi bahkan bisa ngeping Big Grin

Code:
[email protected]:~# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8 (8.8.8.8): icmp_seq=1 ttl=50 time=44.1 ms
64 bytes from 8.8.8.8 (8.8.8.8): icmp_seq=2 ttl=50 time=49.4 ms
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 907ms
rtt min/avg/max/mdev = 48.264/50.352/52.441/2.100 ms

nyegir dah tuh .. pas lihat id ..Big Grin

Code:
[email protected]:~# id
uid=0(root) gid=0(root) groups=0(root)

coba2 lihat direktori .. misal ke home

[email protected]:/home# ls
richard
[email protected]:/home# cd richard
[email protected]:/home/richard# ls

ingat .. file2 palsu lainnya dapat anda temukan pada direktori data .. nnti bisa di edit2 biar lebih kelihatan asli .. klo perlu di buat kompleks Big Grin

doi juga bisa melihat2 seperti file ini Big Grin

Code:
[email protected]:/home/richard# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
richard:x:1000:1000:richard,,,:/home/richard:/bin/bash
sshd:x:101:65534::/var/run/sshd:/usr/sbin/nologin

nah perintah2 palsu lainnya dapat anda tambahkan sendiri ... use your creation !!!

buat attacker nakal tersebut penasaran .. yang akhirnya begadang semaleman berpikir keras kenapa dia udah otak-atik file web kok situsnya gk apa2 Big Grin ... klo anda mujur .. attacker tersebut bahkan bisa GILA !!! =)) =))

Update : yang mengalami error pas menjalankan start.sh ..

Code:
aptitude install python-twisted

sekian dari saya Smile [/hide]
FOLLOW @DutaLinux
for more question and sharing about security and Opensource only

#2
ahhaha mantab om poc nya
kalo gila serah kan ke saya , saya siap bantu dia menjadi gila lagi Big Grin
ada kodok teroret teroret dipinggir kali terorret teroret mencari makan teroret teroret setiap pagi teroret teroret

visit: http://warungiso.blogspot.com/

I was not smart or special but I was unix

#3
mantaps om , , windowser ijin nyimak aja dah Big Grin . ,,
pengguna baru Imoet

#4
poc nya mantab om Zee wkwkwk . . .
Spoiler! :
<<Back|Track
☆‍‍‍‍☆‍‍‍‍☆‍‍‍‍☆☆


#5
berarti port ssh di ganti gitu ya bang sama honney pot bukan di port 22

#6
(12-04-2012, 12:08 AM)mas~jojoen Wrote: berarti port ssh di ganti gitu ya bang sama honney pot bukan di port 22

port 22 tetap tapi dia memakai port baru .. klo bisa sih port ssh di ganti dulu terus port 22 di forward ke port honeypot

FOLLOW @DutaLinux
for more question and sharing about security and Opensource only

#7
wah surem nih tutorialnya , bikin attacker bingung seharian tuh dengan fake command
thanks nih ilmunya Smile
Every one Have Superiority that you don't know..

#8
wakaka...
Penasaran eh penasaran tengah malem ... :D
#######################################
Yesterday... All my trouble seem so far away....
#######################################
Visit My Neglected Site :d

#9
(12-03-2012, 06:29 PM)zee eichel Wrote: Selamat siang menjelang sore hari ...

berbagai adalah sesuatu yang menyenangkan \m/

ok terkadang untuk mempertahankan diri , kita tidak hanya butuh tembok api ( firewall ) namun kita juga membutuhkan trik-trik untuk menipu lawan biasanya dikeluarkan oleh projek honeypot.

kali ini kita belajar untuk menipu attacker yang sering nyoba2 ssh dengan bruteforcing tools seperti hydra ataupun medusa Big Grin ( bruteforce via ssh - default port 22)

Quote:tested on : ubuntu server, backtrack 5 R3 , dracos-linux

Tools yang kita gunakan adalah kippo .. bisa anda download di

Kippo dan Honeypot memang sip dah Om.. Smile
<p>=========Cyberly================

Indonesian Backtrack Team Regional Aceh

" Walau diam tetap belajar"

GPComp</p>

#10
keren dah sharing dari si om... mantap mannnntap +2 dari ane om
Quote:how many failures to come I will always try to rise






Users browsing this thread: 1 Guest(s)