반응형
기본적으로 honeydrive에 kippo가 설치가 되어 있다.
kippo는 가짜의 ssh를 구동시켜 외부자가 ssh를 통해 침투하여 입력한 모든 명령어들을 replay 해준다.
또한 localhost/kippo-graph/ 웹을 통해 공격지 ip , 날짜등 통계가 되어 한눈에 보기가 쉽다.
구동 시키는 방법은 /honeydrive/kippo/start.sh를 실행 시켜 주면 된다.
kippo.cfg
=> kippo 구동 환경을 설정해 줄 수 있다. ssh port 변경 등
data/
=> lastlog.txt 와 userdb.txt가 존재한다.
-> lastlog는 simulate ssh 에 접속했던 IP들과 시간정보들이 들어 있다.
-> userdb.txt는 simultae ssh의 user id와 password정보들이 들어 있다. 이 정보들 중에 password을 쉽게 바꾸게 되면 ( root//root) 공격자는 손쉽게 simulate ssh에 접속하게 되고 공격 패턴을 좀 더 쉽게 파악 할 수 있다.
utils/
=> 각종 유틸들이 있다. 특히 playlog.py 를 통하여 log/ 밑에 저장된 로그를 통해 공격자의 행위를 실시간으로 replay를 볼 수 있다.
반응형
'프로젝트 관련 조사 > 허니팟' 카테고리의 다른 글
| conpot 설치 방법 (0) | 2015.11.09 |
|---|---|
| kippo를 통해 본 봇들의 공격 -2 (0) | 2015.11.07 |
| kippo를 통해 본 봇들의 공격 -1 (0) | 2015.11.07 |
| 허니팟(Honey Pot) 설치 - honeydrive (0) | 2015.11.06 |