Kippo ist ein Tool, welches einen SSH-Server simuliert, um nach einem erfolgreichen Login alle Aktivitäten des Angreifers aufzuzeichnen.
Kippo arbeitet dabei in einer virtuellen Umgebung in der kaum Befehle ausführbar sind. Genauer gesagt, führen Kommands wie „mount“, „dmesg“ usw. nur zur Ausgabe eines lustigen Satzes. Der einzige Befehl, welcher „korrekt“ simuliert wird „wget“. (Es ist nicht wget, sondern eine Nachimplementierung in Python) Alle vom Angreifer heruntergeladenen Dateien werden in einem gesonderten Verzeichnis gesammelt, sodass man sich diese später genau anschauen kann. Versucht der Angreifer eine heruntergeladene Datei auszuführen, passiert nichts und er bekommt nur einen lustigen Satz zu lesen.
Alle Befehle, welche vom Angreifer ausgeführt werden, werden in einer Logdatei gespeichert, welche man sich später beliebig oft anschauen kann.
1.) Debian auf den neuesten Stand bringen
apt-get update
apt-get upgrade
2.) SSH Port ändern:
Port 8925
reload ssh
3.) Abhängigkeiten zu Kippo installieren
apt-get install python-dev openssl python-openssl python-pyasn1 python-twisted
in Sub Version gehen und kippo installieren
apt-get install subversion
4.) Ein Kippo User solte angelegt werden:
useradd -d /home/kippo -s /bin/bash -m kippo -g sudo
passwd kippo
5.) Ändern der Portnummer von Kippo auf 22
apt-get install authbind
Dazu eine neue Datei erstellen:
touch /etc/authbind/byport/22
Zugriffsrechte auf diese Datei anpassen:
chmod 777 /etc/authbind/byport/22
6.) Kippo herunterladen und konfigurieren
cd (Stammverzeichnis kippo)
svn checkout http://kippo.googlecode.com/svn/trunk/ ./kippo
cd kippo
mv kippo.cfg.dist kippo.cfg
vi kippo.cfg
ssh_port = 2222 –> ssh_port = 22
7.) Startskript für Kippo erstellen
vi start.sh
echo -n „Starting kippo in background…“
von:
twistd -y kippo.tac -l log/kippo.log –pidfile kippo.pid
in:
authbind –deep twistd -y kippo.tac -l log/kippo.log –pidfile kippo.pid
./start.sh
Logs liegen in: /home/kippo/kippo/log/
vi kippo.log
8.) Grafisch aufgewertet wird es mit Kippograph:
apt-get update && apt-get install -y libapache2-mod-php5 php5-mysql php5-gd php5-curl
/etc/init.d/apache2 restart
wget http://bruteforce.gr/wp-content/uploads/kippo-graph-1.5.tar.gz
mv kippo-graph-VERSION.tar.gz /var/www/html
cd /var/www/html
tar zxvf kippo-graph-VERSION.tar.gz
mv kippo-graph-VERSION kippo-graph
cd kippo-graph
chmod 777 generated-graphs
cp config.php.dist config.php
nano config.php #enter the appropriate values
Testen
http://your-server/kippo-graph