12 noviembre 2012

Honeypot con Kippo - III

Como vimos en entradas anteriores Kippo guarda un registro de los comandos que se introduce en la shell en formato binario. Este log se reproduce como un vídeo utilizando el script playlog.py ubicado en la ruta utils/

Otra opción mucho más cómoda es instalar Ajaxterm y acceder a ellos vía web. Ajaxterm es un terminal escrita en python y javascript,  que escucha como un nuevo servicio.

Los ficheros de 112 bytes (en mi caso) no contienen datos, por lo que pueden ser eliminados directamente con el comando: find /var/chroot/usr/local/src/kippo/log/tty -size 112c -exec rm {} \;

Para instalarlo  hay que descargar el software, parchearlo y editar su configuración, ya que hay rutas escritas en el propio código que se debe modificar por las que emplee nuestra configuración de Kippo.



En la línea 409 y 410 se modificarán  dejándolas así (siempre y cuando se ejecute fuera del chroot)


Una vez modificado, se arranca llamando al script mediante el comando: python ajaxterm.py, que a diferencia de lo que dice al iniciar, escucha en todas las interfaces (0.0.0.0) en el puerto 8022 por defecto y modificable con el parámetro -p. Por lo que es recomendable usar iptables o modificar el script para limitar su acceso (en la línea 570, cambiando el 0.0.0.0 por la IP, por ejemplo: 127.0.0.1).



Para visualizar los logs, se accede a la URL con el parámetro: /playlog/?l=[FICHERO], donde [FICHERO] equivale al nombre del archivo del directorio log/tty a visualizar. 

Se pueden ver bastantes ejemplos online, como el que se muestra en esta página web: http://kippo.rpg.fi/playlog/?l=20100316-233121-1847.log