Cara Install Kippo SSH Honeypot dan Kippo Graph

Link diatas adalah sebuah Honeypot SSH bernama Kippo dengan web interfacenya bernama Kippo Graph, saat ini lebih dari 1 juta percobaan login terhadap SSH di server yang saya gunakan untuk percobaan.

Untuk membangun Honeypot seperti diatas caranya cukup mudah, gunakan Linux seperti Debian/Ubuntu dan turunannya atau RHEL/Centos dan variannya. kali ini saya ingin berbagi mengenai cara install Kippo SSH Honeypot dan Kippo Graph.

 

I. Install Kippo Honeypot SSH

Download di https://github.com/desaster/kippo atau

git clone https://github.com/desaster/kippo.git

Sebelum lanjut, pastikan dulu port ssh sudah diubah…

Sekarang, install program yang dibutuhkan:

sudo apt-get install python-dev openssl python-openssl python-pyasn1 python-twisted

Setelah itu kita buat user khusus buat Kippo Honeypot:

sudo useradd -d /home/kippo -s /bin/bash -m kippo -g sudo

Agar tingkat keberhasilan honeypot tinggi, maka kita perlu menjalankannya di port default ssh yaitu di port 22. tetapi karena port 22 membutuhkan hak akses root, dibutuhkan suatu cara untuk forward port tersebut. salah satunya dengan authbind. cara installnya:

sudo apt-get install authbind

Buat file dengan nama 22 (atau terserah):

touch /etc/authbind/byport/22

Berikan file tersebut hak akses user “kippo” yang telah dibuat sebelumnya.

chown kippo /etc/authbind/byport/22

Ganti permission filenya ke 777

chmod 777 /etc/authbind/byport/22

Kemudian kita beralih ke user kippo dengan:

su kippo

Pindahkan folder kippo yang telah di download dengan git diatas ke folder home user kippo:

sudo mv /home/ikons/kippo /home/kippo/

Masuk ke folder kippo dan bikin file confignya dari contoh yang sudah ada:

mv kippo.cfg.dist kippo.cfg

Buka file tersebut dengan editor kesayangan anda, lalu ubah beberapa parameter seperti berikut:

1. Ganti port ssh.

# Port to listen for incoming SSH connections.
#
# (default: 2222)
ssh_port = 22

ganti ssh_port ke 22

2. Ganti nama hostname honeypot.

# Hostname for the honeypot. Displayed by the shell prompt of the virtual
# environment.
#
# (default: svr03)
hostname = ikonspirasi

3. Ganti nama versi ssh yang digunakan, sesuaikan dengan yang digunakan pada ssh server anda.

# (default: "SSH-2.0-OpenSSH_5.1p1 Debian-5")
ssh_version_string = SSH-2.0-OpenSSH_5.1p1 Debian-5

4. Setting database yang digunakan.

#[database_mysql]
#host = localhost
#database = kippo-db
#username = kippo-usr
#password = ikonskeren
#port = 3306

Jangan lupa upload struktur database ke dalam database yang telah dibuat, caranya seperti berikut:

Install dulu kebutuhan untuk python-mysqlnya dan database yang akan digunakan (saya gunakan MySQL):

apt-get install python-mysqldb mysql-server

Setelah install MySQL server, saatnya membuat database, user database dan passwordnya terlebih dahulu (ingat konfigurasi database di kippo.cfg):

mysql -u root -p

CREATE DATABASE kippo-db;
GRANT ALL ON kippo-db.* TO 'kippo-usr'@'localhost' IDENTIFIED BY 'ikonskeren';
exit

Kemudian upload struktur database yang ada di folder Kippo:

mysql -u kippo -p

USE kippo-db;
source /home/nama-user/folder-kippo/doc/sql/mysql.sql;
exit

Setelah semuanya selesai saatnya menjalankan Kippo, tapi sebelum itu lihat dulu file start.sh, harus ada yang diubah agar honeypot bisa berjalan di port 22:

nano start.sh

Kemudian ubah twistd -y kippo.tac -l log/kippo.log –pidfile kippo.pid dengan authbind –deep twistd -y kippo.tac -l log/kippo.log –pidfile kippo.pid

#!/bin/sh
echo -n "Starting kippo in background..."
authbind --deep twistd -y kippo.tac -l log/kippo.log --pidfile kippo.pid

Selesai!

Jalankan Kippo:

./start.sh

Hasilnya bisa dilihat di file kippo.log, semua alamat ip, username, password, perintah terminal, file yang didownload dsb disimpan semua oleh Kippo.

Begitulah cara install Kippo SSH Honeypot, sekarang saatnya install Kippo Graph 😀

Kippo Graph dibuat oleh Ikoniaris dari website http://bruteforce.gr, dengan interface webnya, kita bisa membaca log Kippo dengan mudah, yang paling saya suka adalah Kippo Playlog, Kippo Graph dan Kippo Geo. terutama Kippo Playlog, dimana kita bisa melihat rekaman terminal si penyerang ketika berhasil login ke ssh 😀
Ini contohnya hasil Kippo saya yang terbaru, 23 September 2014, klik disini.
Semua yang penyerang lakukan direkam dan filenya disimpan di folder kippo/dl, sehingga dapat dipelajari lebih lanjut 😀

Oh iya, untuk merubah password atau menambah user dan password Kippo adalah dengan merubah file userdb.txt di folder kippo/data/

cat /kippo/data/userdb.txt
root:0:password
ikons:0:ganteng

II. Install Kippo Graph (Web Interface log Kippo)

Sebelum install Kippo Graph, ada beberapa program yang harus diinstall terlebih dahulu:

apt-get update && apt-get install -y libapache2-mod-php5 php5-mysql php5-gd php5-curl

Restart webserver anda, saya menggunakan Apache:

sudo service apache2 restart

Oke, saatnya download Kippo Graph.

git clone https://github.com/ikoniaris/kippo-graph
Kemudian lakukan langkah berikut:
1. Pindahkan folder yang telah di download ke folder web root (contoh ini di Apache):
mv kippo-graph /var/www
2. Ubah permission folder generated-graph menjadi 777
cd kippo-graph
chmod 777 generated-graphs

3. Ubah file konfig dari contoh yang telah ada

cp config.php.dist config.php
nano config.php

Yang perlu diperhatikan adalah setting database untuk Kippo Graph, samakan saja dengan database yang digunakan oleh Kippo Honeypot.

#a new MySQL server user just for this job.
define('DB_HOST', 'localhost');
define('DB_USER', 'kippo-usr');
define('DB_PASS', 'ikonskeren');
define('DB_NAME', 'kippo-db');
define('DB_PORT', '3306');

Setelah semua selesai, coba buka browser dan arahkan ke http://domain-name-atau-ip-server-anda/kippo-graph

Tada! #Enjoy 😀

Begitulah  cara install Kippo SSH Honeypot dan Kippo Graph, silahkan dicoba…

 

Semoga bermanfaat,

iKONs

 

Catatan:

– Harap berhati-hati dalam setting permission atau hak akses file dan folder untuk Kippo

– Login semua link pada website saya adalah username: ikons dan password: ganteng #terimasaja :p

– Have fun dalam menunggu korban honeypot, gunakan konfigurasi seperti seolah-olah kita yang melakukan brute force ssh 😀

 

Sumber:

https://github.com/desaster/kippo
http://bruteforce.gr/kippo-graph

8
Leave a Reply

4 Comment threads
4 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
4 Comment authors

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Subscribe  
newest oldest most voted
Notify of
escargoo

mau tanya mas,
klo pas jalanin ./start.sh
muncul error unhandled error
traceback (most recent call last); itu kenapa yah mas

Bisa minta error log yg lebih lengkap ga? Udh diinstall semua keperluan paket kipponya blm?

Ryan Z

mas kok pas jalanin perintah ini, mau mindahin file nya dia minta passwordd

sudo mv /home/ikons/kippo /home/kippo/

“[sudo] password for kippo:”

Di folder /home/kippo berarti masukin password user kippo tuh, sblmnya bikin user kippo itu passwdnya apa? Atau klo lupa reset aja passwd user kipponya, caranya:
Pindah ke root pake su atau sudo bash, kemudian passwd kippo dan masukkan passwd user kippo yg baru

Ryan Z

terima kasih mas, kalo ada masalah gpp kan tanya lagi hehehe, semoga sukses selalu ikon inspirasi 😀

silahkan mas

kurawa k

mas ini cuman bisa dijalanin di ssh aja apa bisa diservice yg lain?

klo kippo cuma login ssh aja karena memang cuma emulator service ssh