Kippo、Kippo

kippo

kippo とは、kippoより引用すると、、

Kippo is a medium interaction SSH honeypot designed to log brute force attacks and, most importantly, the entire shell interaction performed by the attacker.

要約すると、ssh ハニーポットということです。

ブルートフォース攻撃のログを取ったり、 ログイン後の攻撃者の動きをログに取ることが出来ます。

そして今回は、 Kippo-Graph というものを使って、Kippo で取ったログを可視化もしてみます。

kippo の設定

kippo の設定自体は、digitalOceanクラウド上に安く簡単にkippoハニーポットを構築する通りにすれば簡単でした。

Kippo-Graph の設定

kippo で取ったログを可視化します。

Kippo-Graph では kippo が mysql へ保存したログを使用して、ログを可視化するので、「mysql の設定 + kippo.cfgの編集」を事前に行う必要があります。

mysql のインストール

apt-get install mysql-server

で一発。

mysql の設定

root で mysql にログインし、kippo 用の DB & ユーザー を作成し、kippo用ユーザーに DB の権限を与えます。

mysql > create database kippo;
mysql > create user 'kippo'@'localhost' identified by 'kippo_pass';
mysql > grant all on kippo.* to 'kippo'@'localhost' identified by 'kippo_pass';

一旦 mysql からログアウトし、"kippo-0.8"に移動します。

$ cd ~/kippo-0.8

ここで、先ほど作成した kippo 用ユーザーを使用して、 mysql にログインします。そして、kippo が使用する table を 'kippo-0.8/doc/sql/mysql.sql' を使用して作成します。

$ mysql -u kippo -p
mysql > source ./doc/sql/mysql.sql;

次に、 'kippo.cfg' を編集します。

[database_mysql]
host = localhost
database = [kippo 用 DB 名]
username = [kippo 用ユーザー名] 
password = [kippo 用ユーザーのパスワード] 
port = 3306

Kippo-Graph のインストール

基本的には、Kippo-Graphの通りで大丈夫です。

Kippo-Graph の設定

mysql へ接続させるために、 config.php を編集します。

define('DB_HOST', 'localhost');
define('DB_USER', '[kippo用ユーザー名]');
define('DB_PASS', '[kippo用ユーザーのパスワード]');
define('DB_NAME', '[kippo用 DB 名]');
define('DB_PORT', '3306');

ここまで設定したら、kippo と apache を再起動します。

~/kippo-0.8$ kill `cat kippo.pid`
$ service apache2 restart

http://[kippoをインストールしたホストのIPアドレス]/kippo-graph にアクセスすると、以下の様な感じで、Kippo-Graphにアクセス出来ます。

f:id:ryouta768:20140202004341p:plain

感想

今後、このハニーポットを観察していきたいと思います。。