Kippo ist ein Tool, welches einen SSH-Server simuliert, um nach einem erfolgreichen Login alle Aktivit\u00e4ten des Angreifers aufzuzeichnen.
\nKippo arbeitet dabei in einer virtuellen Umgebung in der kaum Befehle ausf\u00fchrbar sind. Genauer gesagt, f\u00fchren Kommands wie \u201emount\u201c, \u201edmesg\u201c usw. nur zur Ausgabe eines lustigen Satzes. Der einzige Befehl, welcher \u201ekorrekt\u201c simuliert wird \u201ewget\u201c. (Es ist nicht wget, sondern eine Nachimplementierung in Python) Alle vom Angreifer heruntergeladenen Dateien werden in einem gesonderten Verzeichnis gesammelt, sodass man sich diese sp\u00e4ter genau anschauen kann. Versucht der Angreifer eine heruntergeladene Datei auszuf\u00fchren, passiert nichts und er bekommt nur einen lustigen Satz zu lesen.<\/p>\n
Alle Befehle, welche vom Angreifer ausgef\u00fchrt werden, werden in einer Logdatei gespeichert, welche man sich sp\u00e4ter beliebig oft anschauen kann.<\/p>\n
1.) Debian auf den neuesten Stand bringen<\/p>\n
apt-get update
\napt-get upgrade<\/p>\n
2.) SSH Port \u00e4ndern:<\/p>\n
Port 8925
\nreload ssh<\/p>\n
3.) Abh\u00e4ngigkeiten zu Kippo installieren
\napt-get install python-dev openssl python-openssl python-pyasn1 python-twisted<\/p>\n
in Sub Version gehen und kippo installieren
\napt-get install subversion<\/p>\n
4.) Ein Kippo User solte angelegt werden:
\nuseradd -d \/home\/kippo -s \/bin\/bash -m kippo -g sudo
\npasswd kippo<\/p>\n
5.) \u00c4ndern der Portnummer von Kippo auf 22<\/p>\n
apt-get install authbind<\/p>\n
Dazu eine neue Datei erstellen:
\ntouch \/etc\/authbind\/byport\/22<\/p>\n
Zugriffsrechte auf diese Datei anpassen:
\nchmod 777 \/etc\/authbind\/byport\/22<\/p>\n
6.) Kippo herunterladen und konfigurieren
\ncd (Stammverzeichnis kippo)
\nsvn checkout http:\/\/kippo.googlecode.com\/svn\/trunk\/ .\/kippo
\ncd kippo
\nmv kippo.cfg.dist kippo.cfg
\nvi kippo.cfg
\nssh_port = 2222 –> ssh_port = 22<\/p>\n
7.) Startskript f\u00fcr Kippo erstellen
\nvi start.sh<\/p>\n
echo -n „Starting kippo in background…“
\nvon:
\ntwistd -y kippo.tac -l log\/kippo.log –pidfile kippo.pid
\nin:
\nauthbind –deep twistd -y kippo.tac -l log\/kippo.log –pidfile kippo.pid<\/p>\n
.\/start.sh<\/p>\n
Logs liegen in: \/home\/kippo\/kippo\/log\/
\nvi kippo.log<\/p>\n
8.) Grafisch aufgewertet wird es mit Kippograph:
\napt-get update && apt-get install -y libapache2-mod-php5 php5-mysql php5-gd php5-curl
\n\/etc\/init.d\/apache2 restart<\/p>\n
wget http:\/\/bruteforce.gr\/wp-content\/uploads\/kippo-graph-1.5.tar.gz
\nmv kippo-graph-VERSION.tar.gz \/var\/www\/html
\ncd \/var\/www\/html
\ntar zxvf kippo-graph-VERSION.tar.gz
\nmv kippo-graph-VERSION kippo-graph
\ncd kippo-graph
\nchmod 777 generated-graphs
\ncp config.php.dist config.php
\nnano config.php #enter the appropriate values<\/p>\n
Testen
\nhttp:\/\/your-server\/kippo-graph<\/p>\n","protected":false},"excerpt":{"rendered":"
Kippo ist ein Tool, welches einen SSH-Server simuliert, um nach einem erfolgreichen Login alle Aktivit\u00e4ten des Angreifers aufzuzeichnen. Kippo arbeitet dabei in einer virtuellen Umgebung in der kaum Befehle ausf\u00fchrbar sind. Genauer gesagt, f\u00fchren Kommands wie \u201emount\u201c, \u201edmesg\u201c usw. nur zur Ausgabe eines lustigen Satzes. Der einzige Befehl, welcher \u201ekorrekt\u201c simuliert wird \u201ewget\u201c. (Es ist … <\/p>\n