sshハニーポットをkippoからcowrieへ変更した
経緯
@neglect_yp cowrieでたてた方がいい、kippoは色々と使い物にならないよ。
— ジャンクさん@進学?? (@junk_coken) 2016年3月16日
@neglect_yp マ
— ジャンクさん@進学?? (@junk_coken) 2016年3月16日
大抵攻撃者は$ssh ユーザー名@アドレス コマンド
で行動してきて、kippoはその辺のサポートができてなかったような…。
kippoでエミュレートできてない部分ばかり突いてくるからエラー吐くかバレるかしてると思う。
導入
参考にしたサイト
- CentOS 6.5 に MariaDB 5.5 をインストールする | CUBE SUGAR STORAGE
- ハニーポットcowrieのログを、mariaDBで管理しよう。 | Simple blog @atani
色々つっかえたんだが、眠いしほぼ覚えていないのでぼちぼち思い出しつつ書いていく。
CentOS 6.5にkippoを導入した
kippoとは
kippoは、sshdが動いているように見せるハニーポット。
参考にしたサイト
導入
基本的には上記のサイトを見ながらできたので、詰まったところだけ補足として書く。
Pythonのバージョン
CentOS 6.5に入っているPythonのバージョンが2.6なので、
# pip install pyasn1 pycrypto twisted
で詰まる。
これを参考にして、2.7を入れた。
Twistedのバージョン
Twistedのバージョンの違いで、start.sh
を実行した際にエラーが出る。
# pip install twisted==9.0.0
として、古いバージョンを導入するとうまく実行できた。
diffie-hellman-group1-sha1
ログ取得のテストでsshでkippoが動いているポートに接続しようとしたが、 要求されている鍵交換のメソッドが見つからないみたいなことを言われる。
ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 root@addr