12-03-2012, 06:29 PM
Selamat siang menjelang sore hari ...
berbagai adalah sesuatu yang menyenangkan \m/
ok terkadang untuk mempertahankan diri , kita tidak hanya butuh tembok api ( firewall ) namun kita juga membutuhkan trik-trik untuk menipu lawan biasanya dikeluarkan oleh projek honeypot.
kali ini kita belajar untuk menipu attacker yang sering nyoba2 ssh dengan bruteforcing tools seperti hydra ataupun medusa ( bruteforce via ssh - default port 22)
Tools yang kita gunakan adalah kippo .. bisa anda download di
[hide]
kippo
fungsional kippo yang di buat oleh bahasa uler ( python ) ini adalah membuat sebuah shell ssh palsu yang memang termasuk sakti untuk ngibulin + bikin gondok bruteforcer ssh
kita unduh dulu file kipponya terus ekstrak di sembarang direktori ..
Kippo tidak dapat anda mainkan via root .. soo kita buat dulu user dan group
kalau sudah rubah kepemilikan file kippo yang sudah kita ekstrak tadi
Kippo menggunakan file konfigurasi untuk setting parameternya ..anda dapat mengeditinya sesuai dengan kebutuhan .. parameternya kurang lebih sebagai berikut
note : untuk yang saya beri tanda '#' tidak harus di setting atau di biarkan saja default
ok klo sudah semua konfigurasinya .. kita jalankan kipponya ..esekusi file start.sh dengan user kippo
wesss .. kippo sudah membuat RSA keypair dan bermain sebagai daemon ... dan jika attacker coba2 masuk ... maka
doi bahkan bisa ngeping
nyegir dah tuh .. pas lihat id ..
coba2 lihat direktori .. misal ke home
[email protected]:/home# ls
richard
[email protected]:/home# cd richard
[email protected]:/home/richard# ls
ingat .. file2 palsu lainnya dapat anda temukan pada direktori data .. nnti bisa di edit2 biar lebih kelihatan asli .. klo perlu di buat kompleks
doi juga bisa melihat2 seperti file ini
nah perintah2 palsu lainnya dapat anda tambahkan sendiri ... use your creation !!!
buat attacker nakal tersebut penasaran .. yang akhirnya begadang semaleman berpikir keras kenapa dia udah otak-atik file web kok situsnya gk apa2 ... klo anda mujur .. attacker tersebut bahkan bisa GILA !!! =)) =))
Update : yang mengalami error pas menjalankan start.sh ..
sekian dari saya [/hide]
berbagai adalah sesuatu yang menyenangkan \m/
ok terkadang untuk mempertahankan diri , kita tidak hanya butuh tembok api ( firewall ) namun kita juga membutuhkan trik-trik untuk menipu lawan biasanya dikeluarkan oleh projek honeypot.
kali ini kita belajar untuk menipu attacker yang sering nyoba2 ssh dengan bruteforcing tools seperti hydra ataupun medusa ( bruteforce via ssh - default port 22)
Quote:tested on : ubuntu server, backtrack 5 R3 , dracos-linux
Tools yang kita gunakan adalah kippo .. bisa anda download di
[hide]
kippo
fungsional kippo yang di buat oleh bahasa uler ( python ) ini adalah membuat sebuah shell ssh palsu yang memang termasuk sakti untuk ngibulin + bikin gondok bruteforcer ssh
kita unduh dulu file kipponya terus ekstrak di sembarang direktori ..
Kippo tidak dapat anda mainkan via root .. soo kita buat dulu user dan group
Code:
root@dracos:~# groupadd kippo
root@dracos:~# useradd kippo -g kippo -d /home/kippo -s /bin/sh
kalau sudah rubah kepemilikan file kippo yang sudah kita ekstrak tadi
Code:
root@dracos:~# chown kippo:kippo /path/path/kippo/ -R
Kippo menggunakan file konfigurasi untuk setting parameternya ..anda dapat mengeditinya sesuai dengan kebutuhan .. parameternya kurang lebih sebagai berikut
Quote:root@dracos:/defensive/honeyspot/kippo# cat kippo.cfg
[honeypot]
#ssh_addr = 0.0.0.0 --- > dibiarkan saja agar kippo running dengan ip kita secara otomatis
ssh_port = 2222 --- > koneksi port ssh palsunya
hostname = sales --- > ganti dengan root .. biar si attacker seneng .. ane ganti jadi [email protected] :p
log_path = log --- > untuk melihat kebodohan attacker sambil ngakak =))
download_path = dl --- > tempat attacker ngedownload
contents_path = honeyfs --- > untuk ngedit2 perintah shell palsunya
filesystem_file = fs.pickle --- > untuk setting file system pada shell palsunya
data_path = data --- > untuk ngedit2 data2 palsu di terminal palsunya
txtcmds_path = txtcmds --- > untuk ngedit2 output perintah2 pada shell palsunya
public_key = public.key --- > RSA publik key untuk shell palsu
private_key = private.key ---> RSA private key untuk shell palsu
password = 123456 --- > password nih buat attacker .. jgn disusahin biar gampang di bruteforce ama attackernya =)) =))
#out_addr = 0.0.0.0 --- > setting ip address keluar .. kasi aja ip google atau 127.0.0.1 =))=))
#sensor_name=myhostname --- > ngatur hostname sensor
#fake_addr = 192.168.66.254 --- > alamat ip palsu nih
#[database_mysql] --- > untuk penggunaan database
#host = localhost
#database = kippo
#username = kippo
#password = secret
note : untuk yang saya beri tanda '#' tidak harus di setting atau di biarkan saja default
ok klo sudah semua konfigurasinya .. kita jalankan kipponya ..esekusi file start.sh dengan user kippo
Code:
root@dracos:/defensive/honeyspot/kippo# su kippo
$ ls
data doc honeyfs kippo.cfg kippo.tac private.key start.sh utils
dl fs.pickle kippo kippo.pid log public.key txtcmds
$ ./start.sh
Starting kippo in background...Generating RSA keypair...
done.
wesss .. kippo sudah membuat RSA keypair dan bermain sebagai daemon ... dan jika attacker coba2 masuk ... maka
Code:
root@bt:~# ssh [email protected] -p 2222
Password:
[email protected]:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:4c:a8:ab:32:f4
inet addr:10.98.55.4 Bcast:10.98.55.255 Mask:255.255.255.0
inet6 addr: fe80::21f:c6ac:fd44:24d7/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:84045991 errors:0 dropped:0 overruns:0 frame:0
TX packets:103776307 errors:0 dropped:0 overruns:0 carrier:2
collisions:0 txqueuelen:1000
RX bytes:50588302699 (47.1 GiB) TX bytes:97318807157 (90.6 GiB)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:308297 errors:0 dropped:0 overruns:0 frame:0
TX packets:308297 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:355278106 (338.8 MiB) TX bytes:355278106 (338.8 MiB)
doi bahkan bisa ngeping
Code:
[email protected]:~# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8 (8.8.8.8): icmp_seq=1 ttl=50 time=44.1 ms
64 bytes from 8.8.8.8 (8.8.8.8): icmp_seq=2 ttl=50 time=49.4 ms
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 907ms
rtt min/avg/max/mdev = 48.264/50.352/52.441/2.100 ms
nyegir dah tuh .. pas lihat id ..
Code:
[email protected]:~# id
uid=0(root) gid=0(root) groups=0(root)
coba2 lihat direktori .. misal ke home
[email protected]:/home# ls
richard
[email protected]:/home# cd richard
[email protected]:/home/richard# ls
ingat .. file2 palsu lainnya dapat anda temukan pada direktori data .. nnti bisa di edit2 biar lebih kelihatan asli .. klo perlu di buat kompleks
doi juga bisa melihat2 seperti file ini
Code:
[email protected]:/home/richard# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
richard:x:1000:1000:richard,,,:/home/richard:/bin/bash
sshd:x:101:65534::/var/run/sshd:/usr/sbin/nologin
nah perintah2 palsu lainnya dapat anda tambahkan sendiri ... use your creation !!!
buat attacker nakal tersebut penasaran .. yang akhirnya begadang semaleman berpikir keras kenapa dia udah otak-atik file web kok situsnya gk apa2 ... klo anda mujur .. attacker tersebut bahkan bisa GILA !!! =)) =))
Update : yang mengalami error pas menjalankan start.sh ..
Code:
aptitude install python-twisted
sekian dari saya [/hide]
FOLLOW @DutaLinux
for more question and sharing about security and Opensource only
for more question and sharing about security and Opensource only