IT001

現場(環境): CentOS 6.8 套件：mysql-server 、httpd 、kippo-graph

 

---

 

接續昨天，IT專題-honeypots建置(kippo上篇)

 

昨天我們最後的時候是將整個kippo服務先關起來，

 

因為今天我們啟動時要一併將日誌資訊寫進資料庫當中。

 

---

 

Step 11. 安裝資料庫

 

這邊還是使用mysql 資料庫。

 

#yum install mysql-server mysql

 

#service mysqld restart

 

#chkconfig mysqld on

 

 

---

 

Step 12. 設定資料庫連線

 

設定root登入密碼 (第一次登入是沒有密碼的)

 

#mysql -u root -p

 

mysql> set password for 'root'@'localhost' = password('你的root密碼');

 

Query OK, 0 rows affected (0.00 sec)

 

 

建立kippo這個帳號

 

mysql> create user 'kippo'@'localhost' identified by '你的kippo密碼';

 

Query OK, 0 rows affected (0.00 sec)

 

 

建立kippo 資料庫

 

mysql> create database kippo;

 

Query OK, 1 row affected (0.00 sec)

 

 

賦與kippo這個帳號在localhost這端，可以完整存取kippo資料庫的權限。

 

mysql> grant all on kippo.* to 'kippo'@'localhost' identified by '你的kippo密碼';

 

Query OK, 0 rows affected (0.00 sec)

 

如果你要用資料庫管理工具連結，這邊就要加一筆，

 

把localhost改成你的IP address。

 

mysql> grant all on kippo.* to 'kippo'@'你的IP address’ identified by '你的kippo密碼';

 

Query OK, 0 rows affected (0.00 sec)

 

最後更新一下權限就好了

 

mysql> flush privileges;

 

Query OK, 0 rows affected (0.00 sec)

 

---

 

Step 13. 將kippo 設計好的資料庫內容匯入mysql

 

#mysql -u kippo -p -Dkippo < /home/kippo/kippo/doc/sql/mysql.sql

 

之後連進資料庫先看一下database內的表示否都創建好了。

 

mysql> show tables

-> ;

+-----------------+

| Tables_in_kippo |

+-----------------+

| auth |

| clients |

| downloads |

| input |

| sensors |

| sessions |

| ttylog |

+-----------------+

7 rows in set (0.00 sec)

 

---

 

 

Step 14. 修改kippo的設定檔，加入資料庫連線功能。

 

#vim /home/kippo/kippo/kippo.cfg

 

找到被註解掉的設定檔，將註解去掉。

 

然後依照自己的狀況進行設定的修改。

 

#!##################

 

[database_mysql]

host = localhost

database = kippo

username = kippo

password = 你的密碼

port = 3306

 

#!###################

 

到這邊其實就可以把別人連線的LOG紀錄寫一份到資料庫了，

 

雖然寫在資料庫內很好量化，但你也得有相對應的工具才行。

 

這邊我們可以用kippo-graph來將資料庫內的資料，

 

經過彙整後呈現在web頁面上。

 

---

 

Step 15. 安裝 python-mysql 套件

 

#yum -y install python-devel mysql-devel

 

這邊我的Mysql-python是另外安裝的，並非使用yum。

 

因為之前用yum安裝出來好像有問題產生，所以參照網址內的作法。

 

#wget http://pypi.python.org/packages/source/s/setuptools/setuptools-0.6c11.tar.gz --no-check-certificate

#tar -zxvf setuptools-0.6c11.tar.gz

#cd setuptools-0.6c11

#python setup.py install

#wget https://pypi.python.org/packages/source/M/MySQL-python/MySQL-python-1.2.5.zip --no-check-certificate

#unzip MySQL-python-1.2.5.zip

#cd MySQL-python

編譯安裝前修改Mysql-python內的設定檔，

 

因為預設的路徑與我們現行環境的路徑不符合。

 

找到這一行，修改成下面的樣子

 

#!##########

 

#mysql_config = /usr/local/bin/mysql_config

mysql_config = /usr/lib64/mysql/mysql_config

 

#!##########

 

 

之後就可以安裝了。

 

python setup.py install

 

到這邊資料庫的處理算是告一個段落。

 

---

 

Step 16. 安裝WEB介面。

 

#yum install httpd php php-mysql php-gd php-curl

 

這邊的web介面（kippo-graph） 我還是安裝12 版的。

 

雖然現在最新有到1.5.1版本，但該版本就是沒有辦法把資料呈獻出來，

 

所以還是先已1.2版本為主。

 

#wget http://bruteforce.gr/wp-content/uploads/kippo-graph-1.2.tar.gz

#tar -zxf kippo-graph-1.2.tar.gz

#mv kippo-graph-1.2 /var/www/html/kippo

#cd /var/www/html/kippo

#cp config.php.dist config.php

 

修改config.php內容，主要是針對資料庫連線做修正。

 

#!############

define('DIR_ROOT', '你放kippo-graph 的路徑');

 

define('DB_HOST', 'localhost');

 

define('DB_USER', 'kippo');

 

define('DB_PASS', '你的密碼');

 

define('DB_NAME', 'kippo');

 

define('DB_PORT', '3306');

 

#!############

 

 

再來有一件事情要注意，因為kippo-graphs會生成資料，

 

他要放置在「kippo graph放置路徑」/generated-graphs/ 下面，

 

所以我們要給他權限。

 

#chmod 777 /var/www/html/kippo/generated-graphs/

 

接著就是重啟httpd服務，我們就可以看到web端的介面了。

 

#service httpd restart

 

#chkconfig httpd on

 

---

 

Step 17. 透過瀏覽器連線到kippo graph

 

像這次專案的範本，要連線的網址是：

 

http://[kippo主機IP]/kippo

 

我們一開始都會看到這個頁面。

 

 

 

再WEB上有很多頁籤可以選擇，當你的kippo有被人連線時，

 

 

你的資料庫內會有詳細的紀錄，而這些紀錄就會被kippo graph呈獻出來。

 

可以看到那時有被連線

 

 

可以線上讓你回放偷連進你伺服器的人做了什麼

 

 

 

 

這個WEB介面上還可以讓你查詢攻擊者的IP來自於哪裡。

 

 

WEB端的功能非常的多，大家可以建立起來玩玩。

 

我們再回過頭去看資料庫的內容:

 

我們可以透過input這張表紀錄，使用者登入後下了什麼指令。

 

mysql > select * from input;

 

 

mysql > select * from sessions;

 

這邊可以從sessions看到攻擊者的IP位址

 

 

當然kippo 還有很多很有趣的功能，後面在讓大家自己體驗看看。

 

---

 

後記：

 

在我們將mysql的設定寫入kippo設定檔後後，

 

Twisted 就會正式的把日誌寫一份到資料庫當中，

 

而要怎麼知道資料庫到底有沒有在kippo運作時被使用呢？

 

其實在你開啟服務的時候你就會發現了，

 

因為開啟時的訊息與已沒有加入資料庫時，是不一樣的。

 

可以看到 Loading dblog engine: mysql 的訊息。

 

 

補充(2018/03/06)：

 

有一件很重要的事情。

 

我們已經建立了Kippo-Graph了，

 

這樣還只看報表就太可惜了。

 

我們要再做一件事情，就是設定排程

 

透過kippo-graph中的kippo-graph.php,

 

可以幫我們把報表變成圖片。

 

#cd /var/www/html/kippo-1.2

 

#php kippo-graph.php

 

而顯示出來的圖片檔會置放於下列路徑

 

/var/www/html/kippo-1.2/generated-graphs

 

 

這時候我們回WEB端看。就可以看到圖片的顯示。

 

 

這件事情。應該要每個小時都讓kippo-graph.php檔執行一次，

 

所以我們將其寫入crontab當中。

 

#crontab -e

 

#!############

#因為算是頻繁的執行，

#所以不要將他的LOG寫入，而是直接丟棄(/dev/null 2>&1)。

 

0 * * * * /usr/bin/php /var/www/html/kippo-1.2/kippo-graph.php > /dev/null 2>&1
 

#!############

 

如此就會每個小時都更新圖檔。

 

 

（本篇完）

 

 

 

參考網址：

 

http://vinc.top/2016/06/29/centos%E4%B8%8B%E5%AE%89%E8%A3%85%E8%BF%87%E7%A8%8Bssh%E8%9C%9C%E7%BD%90kippo/

 

https://secvul.com/topics/484.html