Kippo是一个中等交互SSH蜜罐,旨在记录暴力攻击,最重要的是,记录攻击者执行的整个外壳交互。
基普受到启发,但不是基于Kojoney。
演示
下面是Kippo实时安装的一些有趣日志(在Ajaxterm的帮助下,可以在网络浏览器中查看)。请注意,自从记录这些日志以来,一些命令可能已经得到了改进。
2009-11-22
2009-11-23
2009-11-23
2010-03-16
特征
一些有趣的特性:
具有添加/删除文件能力的假文件系统。包含了一个类似于Debian 5.0安装的完整的假文件系统
添加假文件内容的可能性,以便攻击者可以“猫”文件,如/etc/passwd。只包含最少的文件内容
存储在UML兼容使用原始计时轻松回放的格式
就像科乔尼一样,吉卜波保存了wget下载的文件供以后检查
诡计;ssh假装连接到某个地方,退出并不真正退出,等等
要求
所需软件:
操作系统(在Debian、CentOS、FreeBSD和视窗7上测试)
Python 2.5
扭曲8.0至15.1.0
PyCrypto
Zope接口
有关一些安装说明,请参见维基。
如何运行它?
根据您的喜好编辑kippo.cfg,并运行以下命令启动蜜罐:
。/start.sh
start.sh是一个简单的shell脚本,使用twistd在后台运行Kippo。可以通过手动运行twistd来给出详细的启动选项。例如,要在前台运行Kippo:
twistd -y kippo.tac -n
默认情况下,Kippo监听端口2222上的ssh连接。您可以更改它,但不要将其更改为22,因为它需要根权限。请改用端口转发。(更多信息:使MakingKippoReachable)。
感兴趣的文件:
dl/ -用wget下载的文件存储在这里
log/kippo.log - log/debug输出
日志/tty/ -会话日志
utils/playlog.py -重放会话日志的实用程序
utils/createfs.py -用于创建fs.pickle
伪文件系统
honeyfs/ -假文件系统的文件内容-在这里随意复制一个真实的系统
文章来源:
https://github.com/desaster/kippo#requirements
推荐文章++++