?

Aug 25 2016

Cowrie蜜罐部署教程

首頁 » 滲透測試 » Cowrie蜜罐部署教程   

0.蜜罐分類:

低交互:模擬服務和漏洞以便收集信息和惡意軟件,但是攻擊者無法和該系統進行交互;

中等交互:在一個特有的控制環境中模擬一個生產服務,允許攻擊者的部分交互;

高交互:攻擊者可以幾乎自由的訪問系統資源直至系統重新清除恢復。

 

1.jpg

 

 

1.cowrie簡介

它是一個具有中等交互的SSH蜜罐,安裝在Linux中,它可以獲取攻擊者用于暴力破解的字典、輸入的命令以及上傳或下載的惡意文件。攻擊者在上傳惡意文件后,執行惡意文件的操作均會失敗,所以對蜜罐本身來說比較安全。

2.jpg

 

 

2.cowrie安裝部署

以下步驟均為root權限執行

 l  添加非root用戶

adduser cowrie –p *******(設置密碼,一路回車即可)
 l  安裝各種python相關包

apt-get install python-twistedpython-crypto python-pyasn1 python-gmpy2 python-mysqldb python-zope.interface
 l  安裝virtualenv

apt-get install virtualenv
 l  下載cowire

cd /optgit clone http://github.com/micheloosterhof/cowrie

 l  配置python虛擬環境

cd /opt/cowrie-master(cowrie-master就是我cowrie蜜罐的目錄,如果目錄不一致,重命名即可)virtualenv cowrie-envsource cowrie-env/bin/activate(cowrie-env) $ pip install twistedcryptography pyopenssl gmpy2
 l  改變/opt/cowrie-master的擁有者

chown -R cowrie:cowrie /opt/cowrie-master
 l  建立cowrie配置文件

cp cowrie.cfg.dist cowrie.cfg
 l  修改日志的umask為0022(默認為0077)

cd /opt/cowrie-mastervi start.sh

 

 3.jpg

 

 

l  修改蜜罐的SSH端口(默認為2222)

cd /opt/cowrie-mastervi cowrie.cfg
將linsten_port改為62223即可(最好大于60000,以防止被nmap默認掃描到)

4.jpg

 

 

l  將公網訪問服務器22端口的請求做端口轉發,轉發到蜜罐的端口中

iptables -t nat -A PREROUTING -p tcp--dport 22 -j REDIRECT --to-port 62223
 l  將真正的(非蜜罐)SSH管理端口改為65522

vi /etc/ssh/sshd_config
(備注:在第一次改SSH端口時,在前期測試時強烈建議同時保留22與65522,以防止修改保存后出現故障無法連接65522)

 

5.jpg

 

 

此處切換為cowrie用戶操作

    啟動蜜罐

cd /opt/cowrie-master./start.sh
3. 數據庫安裝部署

cowrie中產生的日志雜亂無章,即使放到日志分析工具中也很難制定規則去篩選。然而cowrie具備將攻擊IP、時間、歷史執行命令等記錄直接存在數據庫中,下面將說明如何配置數據庫。

需要root權限或者sudo

 l  安裝mysql基礎環境

apt-get install libmysqlclient-devpython-dev pip install mysql-python apt-get install mysql-server python-mysqldb

 

6.jpg

 

 

l  配置數據庫與表

使用root用戶建立名為cowrie的數據庫并將該庫中的所有表授權給cowrie

mysql -u root -pEnter password: ******* mysql>CREATE DATABASE cowrie;mysql> GRANT ALL ON cowrie.* [email protected] IDENTIFIED BY 'your_password';mysql>exit
此時進入cowrie安裝目錄中,使用cowrie用戶登錄數據庫,進入cowrie庫中,將/opt/cowrie/ doc/sql/mysql.sql作為數據源即可制成多個表。

cd /opt/cowrie-master mysql -u cowrie –pEnter password: ******* mysql>USE cowrie;mysql>source ./doc/sql/mysql.sqlmysql>exit
 停止cowrie,修改配置文件中的數據庫配置,使配置文件中的密碼與cowrie數據庫用戶密碼一致。

./stop.shvi cowrie.cfg

 

7.jpg

 

 

 

保存后退出,并su到cowrie用戶重啟蜜罐

./start.sh
cowrie庫中的數據表如下:

8.jpg

 

 

4. 配置文件說明

data/userdb.txt——設置外部連接蜜罐時的密碼,可以設置稍微復雜但是在攻擊字典里,誘使攻擊者進行暴力破解并獲取其行為。       

 9.jpg

 

log/cowrie.json與   log/cowrie.log——均為日志

10.jpg

 

txtcmds/*——均為假的命令,其實打開就會發現完全就是txt

11.jpg

 

dl/*——攻擊者上傳的文件均會復制到這里

 

12.jpg

 

honeyfs/etc/motd——自定義歡迎/警告banner

 

13.jpg

 

 

 

5. 階段成果

如果想查詢蜜罐中是否有攻擊者的痕跡,SSH登錄服務器后進入數據庫,使用cowrie庫,查詢auth、sessions、input等表即可。
公網惡意IP可以從sessions表中去重獲取,算是少量的威脅情報了,部分惡意IP如下。

 14.jpg

 

記錄攻擊者操作如下:

 

15.jpg

 

16.jpg

 

由上圖可以看到攻擊者在暴力破解成功后執行的命令,獲取到這些惡意文件后進行分析,其大多數均為用于ddos的惡意程序,例如:

 

17.jpg

 

 

在長期收集蜜罐中的攻擊者信息后,可以制定惡意IP列表直接在防火墻做阻斷

*本文作者:RipZ,轉載須注明來自FreeBuf.COM

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

如果您喜歡本博客,歡迎點擊圖片定訂閱到郵箱填寫您的郵件地址,訂閱我們的精彩內容:

正文部分到此結束

文章標簽: 蜜罐部署

版權聲明:若無特殊注明,本文皆為( mOon )原創,轉載請保留文章出處。

也許喜歡: «關于微信“BadKernel”漏洞情況的通報 | 真相依舊撲朔迷離:5大問題回顧NSA被黑事件»

你腫么看?

你還可以輸入 250/250 個字

? 微笑 大笑 拽 大哭 親親 流汗 噴血 奸笑 囧 不爽 暈 示愛 害羞 吃驚 驚嘆 愛你 嚇死了 呵呵

評論信息框

這篇文章還沒有收到評論,趕緊來搶沙發吧~

?
?
河北11选5开奖