kippo はじめて数日が経ちました

ハニーポットの運用をはじめて数日が経ったわけですが、お客さんというか、ポートスキャナーが結構遊びに来てくれるようになりました。

 

まだ中で遊んでくれるお客さんはほとんどいないのですが、ログイン試行だけは結構来ているので、よく使われるアカウントTOP10を発表します。

 

1位:root    1246回(王道ですね)
2位:admin    400回(まぁよくありますね)
3位:admin1    54回(変化球ですね)
3位:oraf       54回(アナ雪?)
3位:orawls     54回(なんだかわかりません)
3位:poc       54回(うーん・・・)
6位:bin      35回(なぜ?)
6位:oracle      35回(そうですか)
9位:test       13回(ありがち)
10位:nagios    12回(監視系はゆるいことがあるのかな?)

 

番外編

人の名前で入ってこようとする人も結構いました。というか、日本人の苗字がいっぱいあったのですが、IDCFクラウドが日本でのサービスなので、日本人の名前で試しているのでしょうかね?ちょっと興味深いです。

例)

alex

amanda

antony

aoki

arai

saito

abe

endo

chiba

fujii

fujimoto

fujita

fujiwara

fukuda

goto

hara

harada

hasegawa

hashimoto

hayashi

hirano

ikeda

imai

inoue

ishida

ishii

ishikawa

ito

iwasaki

kaneko

kato

kikuchi

kimura

その他多数

 

 

IDCFクラウドでkippoを立てる

何番煎じかわかりませんが、立てました。IDCFクラウドだと仮想ルータにファイアウォールとポートフォワードの機能があって、仮想マシン起動時点では外部から一切アクセスできない安心設計なので、結構安全にサーバを立てることができますね。

 

アカウントを作る

持ってなければ、適当に作ってください。

仮想マシンを作る

2つのリージョンと複数のゾーンがありますが、お好きなところで作ります。もちろん最小構成で十分なので、1ヶ月500円です。OSも好きなのを選べばいいですが、今回は、CentOS6.6のテンプレートから作成しました。

ファイアウォールとポートフォワードの設定をする

ターミナルで作業したいので、コンパネから

IPアドレス」→「IPアドレス名 の部分」→「ファイアウォール」を開く

  コメント:なんでもOK

  ソースCIDR:My IP

  タイプ:ssh

 右側の「+」をクリックする

 

次に「ポートフォワード」を開いて

 コメント:なんでもOK

 プライベートポート:22

 パブリックポート:22

 仮想マシン:建てたやつ

 右側の「+」をクリックする

これで準備が整いました。

サーバの設定

他の方のを参考にしていたので、書かなくても良さそうですが・・・

まずはアップデートとモジュールのインストール

# yum -y update

# yum -y install python-crypto

# yum -y install python-twisted

# yum -y install python-zope.interface

# yum -y install python-pyasn1

ユーザーの追加

# adduser kippo 

 kippoのインストール

# su - kippo

$ wget http://kippo.googlecode.com/files/kippo-0.8.tar.gz

$ tar xf kippo-0.8.tar.gz

$ cd kippo-0.8/ 

 ログファイルの設定変更

$ vi kippo.cfg

#[database_textlog]

#logfile = kippo-textlog.log

↓ コメントアウトをとる

[database_textlog]

logfile = kippo-textlog.log

以上で終わりです。

 

ポートの設定

kippo はデフォルトで 2222ポートを使うので、iptablesでリダイレクトさせている人も多いと思いますが、IDCFクラウドの場合ポートフォワードの機能が仮想ルータについているので、今回はそれを使ってみます。

その前に、ログイン用のポートの変更と 22ポートをanyで受け付けるようにします。

コンパネから

IPアドレス」→「IPアドレス名 の部分」→「ファイアウォール」を開きます

 既存の設定を削除します

 [大事なお客様を受け入れる用]

 コメント:なんでもOK

 ソースCIDR:Any

 タイプ:SSH

 右側の「+」をクリックする

 

 [自分がログインする用]

 コメント:なんでもOK

 ソースCIDR:My IP

 タイプ:Custum TCP

 ポートレンジ:22222 ←なんとなく 22222ポートを使うことにしました。

 右側の「+」をクリックする

 

続けて「ポートフォワード」を開く

 既存の設定を削除する

 [kippo用に22ポートに来たものを2222ポートに渡します]

 コメント:なんでもOK

 プライベートポート:2222

 パブリックポート:22

 仮想マシン:建てたやつ

 右側の「+」をクリックする

 

 [ログイン用]

 コメント:なんでもOK

 プライベートポート:22

 パブリックポート:22222

 仮想マシン:建てたやつ

 右側の「+」をクリックする

 

これで全ての準備が整いました。

kippo を動かします。

[起動]

$ ./kippo.sh

 

[終了]

$ cat kippo.pid

$ kill [pid]

 

さぁ、首を長くしてお客さんを待ちましょう。

ハニーポット始めました

以前からkippo使ってハニーポット作ってみたかったんです。

徳丸さんの「digitalOceanクラウド上に安く簡単にkippoハニーポットを構築する」とか、ozumaさんの「さくらのVPSに来る悪い人を観察する その2」とか「ハニーポット観察記録」とかたくさんの人たちを見てやってみたかったんです!

 

ちょうどハニーポットを作れるタイミングがあったので、作ってしまいました。

出来立てのハニーポットですが、これから観察していきたいと思います。

今回の環境は、「500円クラウド」って言われている「IDCFクラウド」を使っています。

 

ハニーポットで得た情報はできるだけアウトプットしていきます!

 

次回はIDCFクラウドにkippoを構築する手順の解説です。