[技術|SEC] kippoで、echoを用いたハニーポット判定を防ぐ

9月 3, 2015 CLaViS7 技術


SSHサーバーのハニーポットツールとしてよく用いられるkippoですが、どうもechoの処理に問題があるようで、最近では攻撃してくるBOTもその処理を突いてハニーポットかどうかの判定をしているようです。
私は先日kippoサーバーを立てたのですが、すべてこの不具合を突かれ、逃げられてしまっていました。

具体的には、攻撃者がログイン後
echo -n test
を実行し、結果が
-n test
だった場合、接続をそこで切ってしまうようです。
これはkippoのバグで、kippoから派生したCowrieでは修正されています(詳細 : “echo -n test · Issue #190 · desaster/kippo · GitHub“)

Cowrieに鞍替えしても良いのですが、kippoをそのまま使い続ける場合はコードの一部を修正する必要があります。
修正方法は Malekal’s forumさんのこのページ で公開されているものでOKでした。
修正は以下のようになります (Malekal’s forumから引用します)。

対象ファイル : インストールディレクトリ/kippo/commands/base.py (修正後)

これで、ハニーポットへログインして同様にecho -n testしてみると、結果が
test
となり、修正されたことが確認できました。

Malekal’s forumさんのこのページでは、他にも ssh -V に対する修正案も提示されています。
こちらの修正も行いたい方は、リンク先のページをご覧ください。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

1 × one =

Powered by http://wordpress.org/ and http://www.hqpremiumthemes.com/
Background image by Adrian Malec with CC License 2.0.