Menü
Artikel Projekt

Projekt: Endlessh SSH Hackerfalle mit Dashboard Website

Jannik Rehkemper

• Lesezeit: 3 Min.

Endlessh ist eine SSH Fallgrube für Hacker. Dabei wird ein SSH Server auf dem Standardport 22 erstellt und mit einer Portweiterleitung an den Router gebunden. Wenn nun jemand versucht eine SSH Verbindung herzustellen, gelangt er allerdings nicht zu gewohnten Login, sondern bekommt vorher eine endlose Folge an zufällig generierten Zeichen übermittelt. Dadurch können zum einen keine Passwörter probiert werden und zum anderen hat man eine gute Chance automatisierte Angriffe für längere Zeit zu beschäftigen, ohne das diese bei mir oder jemand anderem Schaden anrichten können.

Das Programm steht bei GitHub zum Download bereit. https://github.com/skeeto/endlessh

Main Dashboard findet sich hier:
https://jrehkemper.de/HoneypotHTML/index.php

Installation

Zuerst kopiert man das Repository in einen beliebigen Ordner.

git clone https://github.com/skeeto/endlessh.git

Danach kompiliert man das Programm, sodass es ausgeführt werden kann.

cd endlessh
make

Danach ist es ratsam, den gesamten Ordner nach /etc/endlessh zu kopieren, sodass auch Skripte darauf zugreifen könne. So kann der Startvorgang leichter automatisiert werden.

Im gleichen Ordner sollte man nun eine config nach Anleitung im GitHub erstellen. In dieser kann zum Beispiel der Port definiert werden.

Ist das erledigt, kann man endlessh eigentlich schon starten. Hat man jedoch Port 22 definiert, wird man die Fehlermeldung bekommen, dass der Port bereits besetzt ist. Grund dafür ist, dass in vielen Distributionen auf Port 22 standardmäßig schon ein OpenSSH Server läuft. Den müssen wir natürlich abschalten.

systemctl disable sshd

Danach kann man den Endlessh Server starten. Dazu geht man in das /etc/endlessh Verzeichnis und für ./endlessh aus. Alternative kann man natürlich auch den absoluten Pfad definieren.

Nun läuft der Endlessh Server. Versucht man jetzt von einem anderen gerät darauf zuzugreifen, passiert scheinbar erstmal nichts. Erst wenn man dem ssh Befehl die Parameter -vvv mitgibt, werden die Debug Nachrichten sichtbar und man sieht wie der Endlessh Server willkürliche Zeichen übermittelt.

Autostart

Um ein Programm unter Ubuntu in den Autostart aufzunehmen, biete sich Systemd an. Dies lässt sich relativ einfach konfigurieren.

Zuerst biete es sich an ein Bash-Skript unter /usr/local/bin zu erstellen, dass den genauen Befehl zum start des Programms speichert. Dadurch wird die Syntax in der Konfiguration des Systemd einfacher. Als Skript reicht schon etwas wie:

#!/bin/bash
/etc/endlessh/endlessh > /var/log/endlessh.log

Danach muss man die Berechtigung erteilen, das Skript auszuführen.

chmod +x skript.sh

Danach legen wir den Systemd Job an. Dieser wir als Datei unter /etc/systemd/system/skript.service gespeichert. Der Inhalt lautet wie folgt.

[Unit]
After=network.service

[Service]
ExecStart=/usr/local/bin/skript.sh

[Install]
WantedBy=default.target

Danach muss der Service nur noch aktiviert werden.

Systemctl enable skript.service

Nun startet unser Skript bei jedem Systemstart. Sollte das nicht der Fall sein lässt sich mit Systemctl status skript.service der Status abfragen und so evtl der Fehler finden.

Weitere Ideen und Spielereien

Eine weitere Idee ist es den Output des Endlessh Servers in ein Log schreiben zu lassen. Das geht folgendermaßen

/etc/endlessh/endlessh > /var/log/endlessh.log

Mit diesem Befehl starten wir den Server und leiten die Ausgabe in die Daten /var/log/endlessh.log um. Natürlich kann man auch eine andere Datei als log definieren. Momentan wird jedoch bei jedem neuen Start das Log überschrieben. Möchte man das nicht kann man statt > auch >> schreiben und der neue Output wird an das alte Log angehängt.

Mit diesem Log kann man dann machen, was man möchte. Zum Beispiel kann man mit tail -f -n 100 /var/log/endlessh.log in Echtzeit verfolgen, wer sich gerade an dem SSH Zugang zu schaffen macht. Außerdem kann man mit dem Pivot.py Programm aus den Ordner endlessh/util/ eine CSV Datei aus dem log generieren lassen. Dazu leite man das Log als Input in das Programm.

python3 /etc/endlessh/util/pivot.py < /var/log/endlessh.log

Ich selber habe diese Programm noch etwas erweitert. Zum einen schicke ich die Ip an eine kostenlose API und frage so Land und Kontinent der IP ab. Danach schreibe ich alle Werte in eine MySQL Datenbank. Diese Werte lese ich dann per PHP auf einer Website aus und kann so die Werte grafisch aufbereiten.
Das Ergebnis sieht man dann hier: https://jrehkemper.de/HoneypotHTML/index.php

Zur Website:

Die Website ist eine Mischung aus HTML/CSS/JavaScript/PHP. Das Layout habe ich mithilfe von Bootstrap, einem Framework, das mithilfe von class Tags die CSS Eigenschaften eines Objektes anpasst, erstellt. Die Kacheln oben, sind einfache Divs, mit ein wenig Schatten und runden Ecken. Das Podium sind ebenfalls nur Divs mit eigener Hintergrundfarbe. Um die Darstellung responsive zu machen, habe ich hier Bootstrap genutzt.
Die Graphen weiter unten sind mit Hilfe von Chart.js entstanden.
Im Backend werden beim Seitenaufruf mehrere PHP und JS Dateien geladen, die zuerst mit SQL die Werte aus der Datenbank abfragen und danach mit JS und Charts.js darstellen. Grundlage dafür ist die Dokumentation für Chart.js. Um die Kacheln und das Podium mit werten zu füllen nutze ich JavaScript (getElementById(„Id“).innerHTML = „Wert“).
Die Tabelle am Ende der Seite ist ebenfalls aus dem Bootstrap Arsenal und kann von der Bootstrap Website als Vorlage kopiert und angepasst werden.

Datenbank optimieren

Um die RAM-Auslastung zu minimieren, habe ich die Engine der Datenbank von InnoDB auf MyISAM umgestellt. Die Anleitung dazu gibt es hier.

Fazit

Ich finde die Idee hinter dem Endlessh klasse. Man lenkt Hacker von wichtigen Geräten im Netzwerk ab und hindert sie daran andere Netzwerke anzugreifen. Außerdem war es sehr lehrreich auszuprobieren, wie man die Daten in eine Datenbank schreiben kann und auf einer Website aufbereiten kann. Dadurch hat man eine große Spanne abgedeckt. Der Server selbst ist schnell aufgesetzt, lässt aber trotzdem noch viel Luft für Spielereien.

Teilen
Kommentare anzeigen

Wir nutzen Cookies

Um die Nutzung der Website zu verbessern, nutzen wir Cookies.
Desweiteren werden Google-Dienste für das schalten von Werbung verwendet. Mit der Nutzung der Website geben Sie ihr Einverständnis.
Sollte die Nutzung von Cookies abgelehnt werden, kann dies Auswirkung auf die Nutzung der Website haben.

Themen

Linux: 38 ubuntu: 26 Windows: 12 Quicktips: 10 LXD: 6 Virtualisierung: 5 Netzwerk: 5 Docker: 4 Datenbanken: 4 Hardware: 4 Guide: 4 Setup: 4 Webserver: 3 SQL: 3 cron: 3 cronjob: 3 mysql: 3 Quicktip: 3 administration: 3 DNS: 3 Container: 2 Host: 2 Linux Container: 2 Microsoft: 2 Aorus Elite x570: 2 Mainboard: 2 vnc: 2 shortcut: 2 cli: 2 github: 2 Software: 2 Festplatte: 2 hdd: 2 ssh: 2 datenbank: 2 quicktipp: 2 crontab: 2 MTA: 2 Nullmailer: 2 Postfix: 2 autostart: 2 skript: 2 startup: 2 Raspberry Pi: 2 Terminal: 2 Server: 2 Powershell: 2 Python: 2 Homelab: 2 Netzwerktechnik: 2 SteamCMD: 2 Lokaler DNS Server: 2 Berechtigungen: 2 Grafana: 2 Update: 2 macvlan: 2 Forward Proxy: 1 NGINX: 1 Proxy: 1 Reverse Proxy: 1 exportieren: 1 importieren: 1 sichern: 1 Snapshot: 1 starten: 1 stoppen: 1 verschieben: 1 wiederherstellen: 1 Entwicklung: 1 Geschichte: 1 Modelle: 1 Systeme: 1 Oracle: 1 Abfrage: 1 Befehle: 1 Join: 1 SQL Language: 1 Tabellen: 1 AMD-V: 1 BIOS: 1 Gigabyte: 1 thinvnc: 1 commands: 1 hacks: 1 tricks: 1 befehl: 1 command: 1 date: 1 datum: 1 format: 1 formatierung: 1 automatisierung: 1 job: 1 commandline: 1 git: 1 repo: 1 energiesparen: 1 hdparm: 1 spindown: 1 standby: 1 externe festplatte: 1 nextcloud: 1 snap: 1 speicher: 1 storage: 1 ram: 1 swap: 1 swappiness: 1 dashboard: 1 endlessh: 1 hackerfalle: 1 Projekt: 1 firewall: 1 ufw: 1 Ausgabe umleitung: 1 corntab: 1 Output redirect: 1 Arbeitsspeicher: 1 innodb: 1 myisam: 1 mailserver: 1 mail: 1 boot: 1 debain: 1 script: 1 systemctl: 1 Systemd: 1 apache: 1 sicherheit: 1 Verzeichnis verstecken: 1 zugang: 1 aktivierung: 1 lizenz: 1 verlängern: 1 Cpu Temperatur: 1 Temperatur Auslesen: 1 Command Line: 1 Timezone: 1 Zeitzone: 1 Cheatsheat: 1 Vim: 1 anmeldung: 1 Authentifizierung: 1 private key: 1 public Key: 1 SSH Keys: 1 OpenVPN: 1 VPN: 1 Begriffserklärungen: 1 DECT: 1 Fachbergriffe: 1 SIP: 1 Telefonie: 1 Voice over IP: 1 VOIP: 1 Beginner Guide: 1 für Anfänger: 1 programmieren: 1 Variablen: 1 Apache2: 1 Flask: 1 Production Server: 1 Webapplikation: 1 Webhosting: 1 Website: 1 WSGI: 1 homenetwork: 1 Homeserver: 1 Rapsberry Pi: 1 Hosting: 1 blurry: 1 gui: 1 hight dpi: 1 scale: 1 skalierung: 1 unscharf: 1 windows forms: 1 2 Tier: 1 3 TIer: 1 Access Layer: 1 Architektur: 1 collapsed Core: 1 Core Layer: 1 Distribution Layer: 1 cluster: 1 k8s: 1 Kubernetes: 1 microk8s: 1 Arma: 1 Arma 3 Exile: 1 Arma3: 1 Game Server: 1 DNS Anfrage: 1 Internet: 1 NSlookup: 1 rekursiv: 1 Adblocker: 1 pi: 1 Pi-Hole: 1 raspberry: 1 Unbound: 1 Funktastatur: 1 leere Batterie: 1 pairing: 1 USB Dongle: 1 USB Pairing: 1 USB Tastatur: 1 USB Verbinden: 1 wirelesskeyboard: 1 Wirelesstastatur: 1 Active Direktory: 1 Organisationseinheiten: 1 Organizational Units: 1 OUs: 1 Conatiner: 1 Tutorial: 1 Import: 1 RRD: 1 RRDTool: 1 Smokeping: 1 Lan: 1 langsam: 1 npcap: 1 verbindung herstellen: 1 wireshark: 1 discord: 1 ip-Adresse: 1 netplan: 1 network: 1 static ip: 1 statische IP: 1 Gameserver: 1 Satisfactory: 1 Spiele: 1 Error: 1 Unkown device type: 1 DIY: 1 FaceTrack: 1 gaming: 1 HeadTracking: 1 Webcam: 1 LDAP: 1 OoenLDAP: 1 Nutzer: 1 FritzBox: 1 PiHole: 1 X11: 1 Fernzugriff: 1 PuTTY: 1 Wake on Lan: 1 Intel ProSet: 1 Bridge: 1 InfluxDB: 1 Bad Gateway: 1 Bad Request: 1 Ghost: 1 CMS: 1 Office: 1 Powerpoint: 1 MDADM: 1 RAID: 1 ZFS: 1 innodb_redo: 1 log: 1 5.1 Surround: 1 Dolby Digital: 1 Ac3Filter: 1 Audio: 1