Cowrie蜜罐部署教程

HubORWC 8年前發布 | 22K 次閱讀 數據庫

1.cowrie簡介

它是一個具有中等交互的SSH蜜罐,安裝在Linux中,它可以獲取攻擊者用于暴力破解的字典、輸入的命令以及上傳或下載的惡意文件。攻擊者在上傳惡意文件后,執行惡意文件的操作均會失敗,所以對蜜罐本身來說比較安全。

2.cowrie安裝部署

以下步驟均為root權限執行

l 添加非root用戶

adduser cowrie –p *******(設置密碼,一路回車即可)

l 安裝各種python相關包

apt-get install python-twistedpython-crypto python-pyasn1 python-gmpy2 python-mysqldb python-zope.interface

l 安裝virtualenv

apt-get install virtualenv

l 下載cowire

cd /optgit clone http://github.com/micheloosterhof/cowrie

l 配置python虛擬環境

cd /opt/cowrie-master(cowrie-master就是我cowrie蜜罐的目錄,如果目錄不一致,重命名即可)virtualenv cowrie-envsource cowrie-env/bin/activate(cowrie-env) $ pip install twistedcryptography pyopenssl gmpy2

l 改變/opt/cowrie-master的擁有者

chown -R cowrie:cowrie /opt/cowrie-master

l 建立cowrie配置文件

cp cowrie.cfg.dist cowrie.cfg

l 修改日志的umask為0022(默認為0077)

cd /opt/cowrie-mastervi start.sh

l 修改蜜罐的SSH端口(默認為2222)

cd /opt/cowrie-mastervi cowrie.cfg

將linsten_port改為62223即可(最好大于60000,以防止被nmap默認掃描到)

l 將公網訪問服務器22端口的請求做端口轉發,轉發到蜜罐的端口中

iptables -t nat -A PREROUTING -p tcp--dport 22 -j REDIRECT --to-port 62223

l 將真正的(非蜜罐)SSH管理端口改為65522

vi /etc/ssh/sshd_config

(備注:在第一次改SSH端口時,在前期測試時強烈建議同時保留22與65522,以防止修改保存后出現故障無法連接65522)

此處切換為cowrie用戶操作

啟動蜜罐

cd /opt/cowrie-master./start.sh

3. 數據庫安裝部署

cowrie中產生的日志雜亂無章,即使放到日志分析工具中也很難制定規則去篩選。然而cowrie具備將攻擊IP、時間、歷史執行命令等記錄直接存在數據庫中,下面將說明如何配置數據庫。

需要root權限或者sudo

l 安裝mysql基礎環境

apt-get install libmysqlclient-devpython-dev pip install mysql-python apt-get install mysql-server python-mysqldb

l 配置數據庫與表

使用root用戶建立名為cowrie的數據庫并將該庫中的所有表授權給cowrie

mysql -u root -pEnter password: ******* mysql>CREATE DATABASE cowrie;mysql> GRANT ALL ON cowrie.* TOcowrie@localhost IDENTIFIED BY 'your_password';mysql>exit

此時進入cowrie安裝目錄中,使用cowrie用戶登錄數據庫,進入cowrie庫中,將/opt/cowrie/ doc/sql/mysql.sql作為數據源即可制成多個表。

cd /opt/cowrie-master mysql -u cowrie –pEnter password: ******* mysql>USE cowrie;mysql>source ./doc/sql/mysql.sqlmysql>exit

停止cowrie,修改配置文件中的數據庫配置,使配置文件中的密碼與cowrie數據庫用戶密碼一致。

./stop.shvi cowrie.cfg

保存后退出,并su到cowrie用戶重啟蜜罐

./start.sh

cowrie庫中的數據表如下:

4. 配置文件說明

data/userdb.txt——設置外部連接蜜罐時的密碼,可以設置稍微復雜但是在攻擊字典里,誘使攻擊者進行暴力破解并獲取其行為。

log/cowrie.json與 log/cowrie.log——均為日志

txtcmds/*——均為假的命令,其實打開就會發現完全就是txt

dl/*——攻擊者上傳的文件均會復制到這里

honeyfs/etc/motd——自定義歡迎/警告banner

5. 階段成果

如果想查詢蜜罐中是否有攻擊者的痕跡,SSH登錄服務器后進入數據庫,使用cowrie庫,查詢auth、sessions、input等表即可。

公網惡意IP可以從sessions表中去重獲取,算是少量的威脅情報了,部分惡意IP如下。

記錄攻擊者操作如下:

由上圖可以看到攻擊者在暴力破解成功后執行的命令,獲取到這些惡意文件后進行分析,其大多數均為用于ddos的惡意程序,例如:

 

來自:http://www.freebuf.com/articles/network/112065.html

 

 本文由用戶 HubORWC 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
 轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
 本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!