Kippo SSH Honeypot geschrieben in Python...

jens · Mittwoch 4. Juli 2012, 15:49

Wegen des c't Artikel http://www.heise.de/ct/inhalt/2012/15/134/ :

Report
Fallensteller
Honeypots zur Analyse von Angriffen auf mobile Endgräte

Wer wissen möchte, was in seinem Netz so passiert, stellt Bösewichten eine Falle. Dazu betreibt die Deutsche Telekom in ihrem Mobilfunknetz Honeypots mit scheinbar angreifbaren Smartphones.

Schlagwörter: Mobilfunk, Smartphone, Deutsche Telekom, Honeypot, Kippo, Honeytrap

...bin ich auf Kippo aufmerksam geworden. Kippo ist ein SSH Honeypot. Homepage: https://code.google.com/p/kippo/

Das Projekt ist nicht gerade unter high-development, aber immer noch aktiv.

Eine Anleitung wie man Kippo ans laufen bekommt, gibt es nicht wirklich von offizieller Seite. Ich hab dazu einen kleinen Blog Artikel geschrieben: http://www.jensdiemer.de/permalink/150/ ... tallieren/

Ist ganz Lustig die Software... Wie Leute in diesem Honigtopf-SSH-Server versuchen den Rechner zu manipulieren kann man schön in den Demos sehen: https://code.google.com/p/kippo/#Demo

Leider bekomme ich das logging in einen Jabber Kanal nicht hin. Kommt ein Fehler, siehe: https://code.google.com/p/kippo/issues/detail?id=53
Jemand eine Idee dazu?

jens · Donnerstag 5. Juli 2012, 08:52

Der server lief jetzt die erste Nacht durch und es kamen ein paar login versuche. Deswegen hab ich ein simples skript geschrieben, damit man sehen kann, welche login daten versucht worden sind:

https://github.com/jedie/python-code-sn ... po-scripts

Sieht dann so aus:

Code: Alles auswählen

total logins: 28 - successful: 4 - failed: 24

 * most 20 successful names (total: 1)
      4 - 'root'
 * most 20 failed names (total: 4)
     20 - 'root'
      1 - 'p2ptest'
      1 - 'bin'
 * most 20 successful passwords (total: 1)
      4 - '123456'
 * most 20 failed passwords (total: 24)
      1 - 'unixpass4321'
      1 - 'tzehu1.,123'
      1 - 'toldauserif'
      1 - 'rootlogin'
      1 - 'magnum'
      1 - 'loler1qqqq'
      1 - 'loginroot123'
      1 - 'hellokitty'
      1 - 'edityahoo.upx'
      1 - 'clec.com123'
      1 - 'clec.com'
      1 - 'bullet'
      1 - 'VlKykXeJSlIZ'
      1 - 'SDGSDG436346GHKHJLflhjlfhjjgf856865865'
      1 - 'SDGSDG436346GHKHJLflhjlfhjjgf234214143'
      1 - 'SDGHSFGJDGHJDGHKDGHKDHG85368356DHGJDSJD'
      1 - 'FYUORYghkdghk67984789GDHKDGHKDGHsdffhsg'
      1 - 'FYUIODSAUDYASYUIFASFDUYASUIDQWDA'
      1 - 'FGHJKLKJHGYUIOIHJKDAETYUIOEQDSE'
      1 - 'DHGJDJDGHKDGHK8967gkdgkJGSFGJSFG'

jens · Freitag 6. Juli 2012, 22:05

Habe nun eingestellt, das in eine MySQL Db geloggt wird. Damit man die Daten auch sieht, hab ich mal kein kleines Django Projekt angefangen:

https://github.com/jedie/django-kippo

Macht nicht viel, außer die DB Modelle in den Admin Bereich anzuzeigen... Mal sehen, werde vielleicht ein paar Auswertungs-views machen...

jens · Dienstag 10. Juli 2012, 17:35

insperiert von kippo hab ich einen kleinen login Honigtopf in PyLucid integriert.

Info's dazu: http://www.pylucid.org/de/blog/375/new-in-pylucid-v110/

Zum Probieren: http://www.pylucid.org/login/

Matflasch · Samstag 21. Juli 2012, 16:32

Bin durch den Thread hier auf kippo aufmerksam geworden und hab es auch mal installiert

Habe mir ein sehr simples munin plugin geschrieben, um das mal genauer zu beobachten

Falls interesse besteht: http://pastebin.com/LqBpmWMh