SSH Honeypot kojoney

官方網站:
http://kojoney.sourceforge.net/
kojoney為一個SSH的誘捕系統
其主要是開啟22 Port來模擬SSH的服務
並記錄攻擊者的登入時所使用的帳號與密碼記錄
如果登入成功，同時也會記錄登入後所下的指令


最有用的紀錄，莫過於當攻擊者登入後嘗試下載惡意程式/軟體的時候了
此時系統將會出現下載失敗訊息，
但暗地中會自動把攻擊者欲下載的惡意程式/軟體下載下來，
提供管理者進行分析。

安裝方式基本上很簡單，步驟如下所述:
一、作業系統Linux
        一開始曾經用Ubuntu測試不過安裝好像問題，
        因此改裝在CentOS上。
二、安裝gcc與python
        yum install gcc python python-devel
三、修改/etc/ssh/sshd_config
        設定檔中的#Port 22，刪掉#並將22改成其他的Port，如:443。
        然後 /etc/init.d/sshd restart。
        主要原因如同前述，kojoney用22來模擬SSH正常服務，
　　因此，如果真正的SSH仍使用22 Port的話將會有衝突，
　　如果把真正SSH關掉，那到時候要看log就進不來了，
　　所以需把Port改掉，以便可以用其他Port登入查看Log。
四、從官方網站下載kojoney-0.0.4.2.tar.gz
五、安裝kojoney
        tar -xvf kojoney-0.0.4.2.tar.gz
        cd kojoney
        sh INSTALL.sh
六、設定開機執行
        echo "/etc/init.d/kojoney start" >> /etc/rc.local
七、執行kojoney
        /etc/init.d/kojoney start
八、查看Log
        Log檔放在/var/log/honeypot.log
        Log查看語法，底下僅列出可能常用之方法，
        官方網站上有其他細節的說明，可以自行參考其使用方法:
        1、/usr/share/kojoney/kojreport /var/log/honeypot.log 0 0 1
        2、/usr/share/kojoney/kojreport-filter /var/log/honeypot.log '某IP or date' 0 0 1
        3、/usr/share/kojoney/kojsession /var/log/honeypot.log -total
九、移除安裝
        sh UNINSTALL.sh