暇だったので遊んでみた。
今までは、sshguardでブラックリスト入りしたIPアドレスからのパケットはpfではじいていたが、これを kippo にリダイレクションしてどんなことしてくるか観察してみた。
kippo についてはググるといろいろ出てくるけど、要は偽sshサーバーを立ててアクセス記録、行動記録を取るというもの。一般ユーザーで動くので割と安全(のはず)。
kippo自体は net/kippo から portsで入るけど、pkgでも入る。今回はpkgでインストールした。
ログは/tmp/kippo.log にできる。tail -f /tmp/kippo.log していると、パラパラログが流れて、頻繁にアクセスしてきているのがわかる。
んで、よく見ると rootで認証に成功していてもなぜか何もしてこない。botかなんかなのかな。
2016-02-23 20:43:43+0900 [-] New connection: 183.3.202.106:12501 (192.168.100.2:2222) [session: 28] 2016-02-23 20:43:43+0900 [-] Remote SSH version: SSH-2.0-PUTTY 2016-02-23 20:43:43+0900 [HoneyPotTransport,28,183.3.202.106] kex alg, key alg: diffie-hellman-group1-sha1 ssh-rsa 2016-02-23 20:43:43+0900 [HoneyPotTransport,28,183.3.202.106] outgoing: aes128-ctr hmac-sha1 none 2016-02-23 20:43:43+0900 [HoneyPotTransport,28,183.3.202.106] incoming: aes128-ctr hmac-sha1 none 2016-02-23 20:43:44+0900 [HoneyPotTransport,28,183.3.202.106] NEW KEYS 2016-02-23 20:43:44+0900 [HoneyPotTransport,28,183.3.202.106] starting service ssh-userauth 2016-02-23 20:43:44+0900 [SSHService ssh-userauth on HoneyPotTransport,28,183.3.202.106] root trying auth none 2016-02-23 20:43:44+0900 [SSHService ssh-userauth on HoneyPotTransport,28,183.3.202.106] root trying auth password 2016-02-23 20:43:44+0900 [-] login attempt [root/!@] failed 2016-02-23 20:43:45+0900 [-] root failed auth password 2016-02-23 20:43:45+0900 [-] unauthorized login: 2016-02-23 20:43:45+0900 [SSHService ssh-userauth on HoneyPotTransport,28,183.3.202.106] root trying auth password 2016-02-23 20:43:45+0900 [-] login attempt [root/123456] succeeded 2016-02-23 20:43:45+0900 [SSHService ssh-userauth on HoneyPotTransport,28,183.3.202.106] root authenticated with password 2016-02-23 20:43:45+0900 [SSHService ssh-userauth on HoneyPotTransport,28,183.3.202.106] starting service ssh-connection 2016-02-23 20:43:45+0900 [HoneyPotTransport,28,183.3.202.106] Got remote error, code 11 reason: 2016-02-23 20:43:45+0900 [HoneyPotTransport,28,183.3.202.106] connection lost
常用するのも危なっかしいのでもう少し遊んだら閉じる予定。