ssh専用ハニーポットKippo

SSHに辞書攻撃して、サーバに侵入しようと試みるクラッカーの動向を追うために、ssh用のハニーポットを導入してみた。

名前は「Kippo」。
インストール手順はsshハニーポットをkippoで作ってみる を参考にさせていただいた。

構成としては以下のとおり。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
   ┌──────────────┐  
   │   Cracker    │  
   └──────┬───────┘  


      port:22        



┌───────────────────┐
│     firewalld     │
│         ↓         │
│  portfoward-to:   │
22222
│         ↓         │
│       Kippo       │
└───────────────────┘

firewalld でポートフォワードは こちら を参照されたし。

運用して数日、こんなログが採取されました。

1
2
3
4
5
6
7
8
2015-06-29 20:25:36+0900 [SSHService ssh-userauth on HoneyPotTransport,442,43.255.189.44] login attempt [root/msdn5meu] failed
2015-06-29 20:25:38+0900 [SSHService ssh-userauth on HoneyPotTransport,443,43.255.189.44] login attempt [root/norberta] failed
2015-06-29 20:25:39+0900 [SSHService ssh-userauth on HoneyPotTransport,443,43.255.189.44] login attempt [root/kkennedy] failed
2015-06-29 20:25:40+0900 [SSHService ssh-userauth on HoneyPotTransport,443,43.255.189.44] login attempt [root/adelia12] failed
2015-06-29 20:25:42+0900 [SSHService ssh-userauth on HoneyPotTransport,444,43.255.189.44] login attempt [root/patrizio] failed
2015-06-29 20:25:43+0900 [SSHService ssh-userauth on HoneyPotTransport,444,43.255.189.44] login attempt [root/cyber518] failed
2015-06-29 20:25:45+0900 [SSHService ssh-userauth on HoneyPotTransport,444,43.255.189.44] login attempt [root/pussy22] failed
2015-06-29 20:25:47+0900 [SSHService ssh-userauth on HoneyPotTransport,445,43.255.189.44] login attempt [root/mgcarles] failed

ログインを試みたアカウント名はroot。パスワードは7-8桁で辞書っぽい。
43.255.189.44 香港から来てる。

クラッカーの実行した結果は Kippoに付属している playlog.py を使って再生することが出来る。
今回はそのうちの一つを公開。

[kippo_log.gif]