蜜罐cowrie搭建和部分问题处理

最新推荐文章于 2024-04-12 11:32:45 发布
最新推荐文章于 2024-04-12 11:32:45 发布
阅读量4.6k 收藏 9
点赞数 1
分类专栏: 蜜罐 文章标签: 蜜罐 linux ubuntu github
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xujing19920814/article/details/78599604
版权

因为目前研究的内容涉及到蜜罐,找了很久的资料,终于找到一个中交互的蜜罐cowrie,这是一个外国人写的github项目,打开github项目
这个蜜罐作者在github和他提问他真的很快就回复了。非常赞。

用途

是一款可以对ssh,telnet,http等等协议攻击进行记录,对于输入命令和上传文件均有记录的一款软件。
记录可以设置在日志文件中或者通过配置数据库,导入数据库中方便查询。

效果查看

记录连接ssh的客户端
这里写图片描述
记录尝试暴力破解的用户名和密码
这里写图片描述
登陆之后的操作
这里写图片描述

安装前奏

  • 大环境
    ubuntu 16.04

  • 版本选择

蜜罐的作者在github上有很多个版本,目前我下载并且使用的是
这里写图片描述
这里写图片描述

在ubuntu中可以直接用,下载的就是最新的版本

git clone http://github.com/micheloosterhof/cowrie

请注意下,这个版本没有start.sh和stop.sh,和目前有的教程可能不完全一致。

开始安装

  • step0:参考github intall.md文件

打开参考

  • step1: 安装必要的支持软件,在ubuntu环境,root用户
sudo apt-get install git python-virtualenv libssl-dev libffi-dev build-essential libpython-dev python2.7-minimal authbind
  • step2: 创建一个cowrie用户
sudo adduser --disabled-password cowrie

因为我对linux的权限不是特别驾轻熟就,本来照着参看,创建没有密码登陆的用户,但是在使用apt install的时候,系统提示输入密码,但是创建用户没有密码,所以折腾了下。

折腾内容:
root用户下 移除cowrie用户密码 passwd –delete cowrie
root用户下 创建cowrie用户新密码 passwd cowrie
两次输入新密码

提示cowrie用户没有sudo权限
root用户下,修改文件/etc/sudoers 

chmod 777 /etc/sudoers
vim /etc/sudoers
在文件中添加如下内容
cowrie ALL=(ALL)ALL

这里写图片描述
退出后记得改回去 chmod 555 /etc/sudoers

  • step3:切换账户,并从github下载cowrie
git clone http://github.com/micheloosterhof/cowrie
  • step4:打开cowrie文件夹,安装虚拟环境
$ cd cowrie
$ pwd

/home/cowrie/cowrie

$ virtualenv cowrie-env

New python executable in ./cowrie/cowrie-env/bin/python
Installing setuptools, pip, wheel…done.

  • step5:激活环境并安装必要的包
$ source cowrie-env/bin/activate
注释下:一下的操作全部是在cowrie-env环境运行的(cowrie-env)
(cowrie-env) $ pip install --upgrade pip
(cowrie-env) $ pip install --upgrade -r requirements.txt
  • step6:修改cowrie蜜罐的有关配置文件
(cowrie-env) $ cp cowrie.cfg.dist cowrie.cfg

修改cowrie.cfg
打开ssh,并修改监听端口
这里写图片描述
这里写图片描述
配置输出文件output
这里写图片描述
配置数据库mysql进行记录
这里写图片描述

  • step7:生成DSA密钥,避免有的版本的Twisted不兼容
(cowrie-env) $ cd data
(cowrie-env) $ ssh-keygen -t dsa -b 1024 -f ssh_host_dsa_key
(cowrie-env) $ cd ..
  • step8:明确cowrie的路径
(cowrie-env) $ export PYTHONPATH=/home/cowrie/cowrie
  • step9:在root用户下将ubuntu自身的ssh监听端口修改,并修改iptables

首先开启另外一个终端界面检查是否安装sshd

$ ps -ef|grep sshd

如果有结果则已经安装,否则进行安装

$ sudo apt-get install openssh-server

修改sshd_config文件将端口改为千万不要cowrie.cfg文件中监听的端口一致 62223,否则进入22端口的流量就转发到新的ssh端口,蜜罐被屏蔽掉了

$ vim /etc/ssh/sshd_config

这里写图片描述

$ sudo iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 62223

这里会提示cowrie输入密码
也就是step1中说的多余的操作

补充
docker报错没有iptables指令,root用户下

sudo apt-get install iptables

使用

iptables-save

这里写图片描述
查看路由规则,如果写错了用D替换上面的A
学习参考链接

  • step10:root用户下,配置mysql数据库
    首先检查是否安装mysql
    没有安装,进行安装
sudo apt-get install mysql-server
apt-get isntall mysql-client
sudo apt-get install libmysqlclient-dev

安装过程中会提示设置密码什么的,注意设置了不要忘了,安装完成之后可以使用如下命令来检查是否安装成功:

sudo netstat -tap | grep mysql

通过上述命令检查之后,如果看到有mysql 的socket处于 listen 状态则表示安装成功。

登陆mysql数据库可以通过如下命令:

mysql -u root -p

-u 表示选择登陆的用户名, -p 表示登陆的用户密码,上面命令输入之后会提示输入密码,此时输入密码就可以登录到mysql。

  • step11:在虚拟环境下,安装mysql必备的与python有关的开发包
(cowrie-env) $ sudo apt-get install python-dev
(cowrie-env) $ sudo apt install python-pip
(cowrie-env) $ sudo pip install mysql-python
(cowrie-env) $ sudo apt-get install python-MySQLdb

apt-get install python-MySQLdb特别重要,注意大小写
补充
在docker下安装,和上述操作有出入
这里写图片描述
补充输入指令

(cowrie-env) $ sudo easy_install pip
(cowrie-env) $ sudo pip install pip --upgrade
(cowrie-env) $ sudo pip install MySQL-python
(cowrie-env) $ sudo sudo apt-get install python-MySQLdb
  • step12:在虚拟环境下,创建名为cowrie的yoghurt表将该库的所有表权限赋给cowrie
$mysql -uroot –p
(输入安装mysql数据库root用户的密码)

进入mysql

mysql> CREATE DATABASE cowrie;
mysql> GRANT ALL ON cowrie.* TO cowrie@localhost IDENTIFIED BY 'cowrie';
mysql> exit;

这里的密码是和cowrie.cfg即第6步中
配置数据库mysql进行记录一致
这里写图片描述

  • step13:虚拟环境下进入cowrie安装目录中,使用cowrie用户登录数据库,进入cowrie库中,将/home/cowrie/cowrie/doc/sql/mysql.sql作为数据源即可制成多个表
(cowrie-env) $cd /home/cowrie/cowrie/
(cowrie-env) $mysql -uroot –p
(输入root密码)
(cowrie-env) $use cowrie;
(cowrie-env) $source /home/cowrie/cowrie/doc/sql/mysql.sql;

step14:虚拟环境下启动蜜罐并测试

(cowrie-env) $cd /home/cowrie/cowrie
(cowrie-env) $bin/cowrie start

这里写图片描述

开启另外一个终端,确定本机的ip地址
使用ssh连接攻击xshell进行连接
这里写图片描述
这里写图片描述
蜜罐的用户配置信息在home/cowrie/cowrie/data/userdb.txt中

连接成功,提示的信息是蜜罐的信息
这里写图片描述

附录

可能出现的问题
蜜罐第二天再启动不可以连接了,我列举几个查找问题的方法和可能的原因。

1、监听端口不对,默认监听端口是2222
查看所有端口使用情况

lsof -i

这里写图片描述
这边有问题,应该重新编写cowrie.cfg,利用备份的那个改,记得改数据库的配置

2、iptables转发规则失效

  • 打开转发开关

要让iptables的端口转发生效,首先需要打开转发开关

永久打开,重启依然有效
编辑/etc/sysctl.conf文件,将net.ipv4.ip_forward=1前面的#注释去掉,保存文件,然后执行sudo sysctl -p使其生效

  • 查看iptables规则
iptables-save
  • 开关机启动加载iptables规则

注:配置的规则系统默认重启后就失效,因此做开机启动时加载iptables的配置也有必要。
/etc/network/interfaces的末尾添加如下一行:
pre-up iptables-restore < /etc/iptables.rules

如果想在关机的时候自动保存修改过的iptables规则,可添加如下行
post-down iptables-save > /etc/iptables.up.rules

  • 端口转发出问题
    修改sshd_config文件将端口改为千万不要cowrie.cfg文件中监听的端口一致 62223,否则进入22端口的流量就转发到新的ssh端口,蜜罐被屏蔽掉了

参考文献
蜜罐Cowrie的简单搭建和用法介绍
Cowrie蜜罐搭建教程
老司机教你撘cowrie
Ubuntu环境下的iptables的端口转发配置实例

有梦想的人运气不太差
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
三种蜜罐搭建与使用方法
12-19
本文主要讲述了使用三种方法:Defnet、Pentbox、Cowrie(后两种方法在kali上面完成),来搭建和使用蜜罐
10.Ubuntu16搭建蜜罐Cowrie
weixin_30713953的博客
12-21 318
一直都想尝试搭建一个蜜罐,因为蜜罐是一款可以对ssh,telnet,http等等协议攻击进行记录,对于输入命令和上传文件均有记录的一款软件。 记录可以设置在日志文件中或者通过配置数据库,导入数据库中方便查询。今天闲了下来就尝试搭建蜜罐Cowrie,先来简单说一下蜜罐蜜罐分类: 低交互:模拟服务和漏洞以便收集信息和恶意软件,但是攻击者无法和该系统进行交互; 中等交互:在一个特有...
护网蓝队-蜜罐搭建及使用
最新发布
mashiro_hibiki的博客
04-12 1051
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
简易蜜罐搭建
Gjqhs的博客
12-19 3021
搭个蜜罐吓唬小白黑客
kippo蜜罐搭建
时光凉春衫薄的博客
03-10 2218
kippo蜜罐搭建 总结一下kippo蜜罐搭建的方法,centos系统。kippo-master.zip的安装包 (gcc,python-devel,pip,twisted==13.10,pycrypto)的环境 github上面有kippo-master.zip 连接  https://github.com/desaster/kippo   [root@localhost /]# yu...
蜜罐搭建
weixin_48776804的博客
04-28 187
蜜罐
搭建蜜罐入门教程,搭建Pentbox:蜜罐系统 附图教程
RayPick的博客
08-02 1568
Pentbox是一个轻量级的软件,允许你打开你的主机端口,监听从外部传入的连接请求(最终是拒绝的)。安装文件只有1.5Mb左右 下面讲解具体流程: 1.下载所需文件 wget http://downloads.sourceforge.net/project/pentbox18realised/pentbox-1.8.tar.gz 2.解压并进入文件夹 tar zxvf pentbox-1.8.tar.gz cd pentbox-1.8 执行红色框文件 ./pentbox.rb 出现以下图案说明成功
Docker 搭建Hfish蜜罐平台
qq_49422880的博客
12-14 5769
Docker 搭建Hfish蜜罐平台0x01 前言0x02 Docker基本的操作流程0x03 搭建hfish的详细步骤0x04 蜜罐测试1.ssh蜜罐2.mysql攻击3.telnet4.web4.攻击效果展示参考博客 0x01 前言 在刘总的要求下,安装一个Hfish蜜罐,但是奈何VPS不知道为什么出了问题,用虚拟机搭建了一遍,是可以成功搭建的,应该是VPS出了问题。下面出详细的搭建过程。 0x02 Docker基本的操作流程 一般使用docker搭建某个平台的时候流程都如下图所示: #查看镜像 doc
蜜罐系统理解与搭建
wcl20010的博客
05-13 8983
蜜罐的概念理解 蜜罐的定义 蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。 蜜罐的优势 误报少,告警准确 蜜罐作为正常业务的 "影子" 混淆在网络中,正常情况下不应被触碰,每次触碰都可以视为威胁行为。例如,在其它检测型产品中,将正常请求误判为攻击...
2021银联中级HW题目详解,蜜罐搭建测试,应急响应.docx
08-19
蜜罐搭建测试是指通过搭建蜜罐系统,模拟攻击流量,检测蜜罐的检测能力和响应速度。 2. 应急响应:应急响应是指在网络攻击或系统漏洞被利用时,快速响应和处置的过程。包括溯源、风险评估、isContained、恢复、 ...
Cowrie 一个SSH/Telnet蜜罐-python
06-18
什么是Cowrie Cowrie 是一种中等交互的SSH 和Telnet 蜜罐,旨在记录暴力攻击和攻击者执行的shell 交互。 Cowrie 还充当 SSH 和 telnet 代理,以观察攻击者对另一个系统的行为。 Cowrie 由 Michel Oosterhof 维护...
cowrieCowrie SSHTelnet蜜罐https://cowrie.readthedocs.io
02-05
用户可以通过编译和安装这些文件来搭建自己的Cowrie蜜罐系统。源代码通常包含文档、示例配置、测试用例和必要的依赖库,方便开发者和安全爱好者深入了解和定制系统。 总之,Cowrie作为一款开源的蜜罐系统,为网络...
搭建蜜罐来保护web服务器.doc
07-08
搭建蜜罐来保护web服务器 在这篇文章中,我们将讨论...搭建蜜罐服务器可以保护web服务器免受黑客攻击,并检测和防御黑客的攻击行为。同时,我们也需要了解黑客的攻击方式和技术,以便更好地防御和检测黑客的攻击行为。
基于Docker快速搭建蜜罐Dionaea(30)
yyj1781572的博客
03-10 1248
本节实验将介绍如何基于Docker快速部署蜜罐dionaea。
在服务器上搭建简易的ssh蜜罐
星星9
04-12 2531
在服务器上搭建简易的ssh蜜罐 笔者有一台云服务器,通过长期的使用发现ssh服务容易受到暴力破解,所以在此也建议大家凡是放在公网上的东西密码不能太简单。 1. 更改原有ssh服务端口号 sudo vi /etc/ssh/sshd_config编辑配置文件将ssh的端口号改为一个不常用的端口号,让默认的22留给蜜罐使用。 #Port 22 Port XXX 重启ssh服务sudo systemct...
hfish蜜罐搭建及简单使用
热门推荐
sweetie 的博客
03-16 1万+
蜜罐搭建 为了方便搭建,此处使用Docker搭建Hfish蜜罐,项目官方地址:https://hub.docker.com/r/imdevops/hfish,镜像拉取如下: docker images docker search hfish docker pull imdevops/hfish 容器启动成功后可先访问下 centos8虚拟机 9000 端口看看 Web服务,发现是一个 WordPress 站点登录页面: 此时继续访问 9001 端口可访问查看 Hfish 蜜罐后台管理系统: 账
快速搭建蜜罐pentbox
m0_60389653的博客
04-11 3415
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。 PenTBox也是常用来检测高防服务器网络压力的一种常用工具,它是以模拟DDoS攻击为基础对高防服务器的防御性能进行测试,同时他还支持web安全检测,密码算法等功能,对于建站的站长来说非常合适。 下载pentbo
HFish|一款安全、简单、有效的蜜罐平台|搭建与使用详细教学
qq_44433172的博客
08-03 1万+
HFish是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。............
基于docker的Cowrie搭建及数据可视化
03-31
Cowrie是一款基于Python的SSH蜜罐,可以模拟常见的Linux命令行环境,吸引黑客攻击并记录攻击行为。本文将介绍如何在Docker上搭建Cowrie,并使用Elasticsearch和Kibana实现数据可视化。 1. 安装Docker和Docker Compose 如果您还没有安装Docker和Docker Compose,可以按照官方文档进行安装。 2. 下载Cowrie 在本地创建一个文件夹,用于存放Cowrie相关文件。在命令行中进入该文件夹,运行以下命令: git clone https://github.com/cowrie/cowrie.git 3. 编辑配置文件 进入cowrie文件夹,复制一份配置文件: cd cowrie cp cowrie.cfg.dist cowrie.cfg 编辑cowrie.cfg文件,将以下参数修改为自己的配置: [ssh] # 监听地址 listen_endpoints = tcp:2222:interface=0.0.0.0 # SSH版本 ssh_version = 2 # SSH主机密钥 ssh_host_key = /cowrie/cowrie-git/var/lib/cowrie/cowrie-ssh-hostkey.pem # SSH用户认证 authfile = /cowrie/cowrie-git/etc/cowrie/passwd # SSH黑名单 tcp_proxy = /cowrie/cowrie-git/bin/tcp-proxy.py # SSH欢迎信息 banner_file = /cowrie/cowrie-git/data/fs/banner [output_elasticsearch] # Elasticsearch地址 elasticsearch_host = elasticsearch # Elasticsearch端口 elasticsearch_port = 9200 # Elasticsearch索引名 elasticsearch_index = cowrie-%Y.%m.%d 4. 编写Docker Compose文件 在cowrie文件夹下新建一个docker-compose.yml文件,内容如下: version: '3' services: cowrie: build: . ports: - "2222:2222" volumes: - ./cowrie.cfg:/cowrie/cowrie-git/etc/cowrie.cfg - ./data:/cowrie/cowrie-git/var/lib/cowrie depends_on: - elasticsearch environment: - ES_HOST=elasticsearch - ES_PORT=9200 elasticsearch: image: docker.elastic.co/elasticsearch/elasticsearch:7.14.1 environment: - discovery.type=single-node - bootstrap.memory_lock=true - "ES_JAVA_OPTS=-Xms512m -Xmx512m" ulimits: memlock: soft: -1 hard: -1 volumes: - ./elasticsearch:/usr/share/elasticsearch/data ports: - "9200:9200" - "9300:9300" kibana: image: docker.elastic.co/kibana/kibana:7.14.1 ports: - "5601:5601" environment: - ELASTICSEARCH_HOSTS=http://elasticsearch:9200 depends_on: - elasticsearch 该Docker Compose文件包含了三个服务: - cowrie:运行Cowrie蜜罐 - elasticsearch:运行Elasticsearch - kibana:运行Kibana 其中,cowrie和elasticsearch服务通过depends_on进行依赖关系的声明,kibana服务依赖elasticsearch服务。cowrie服务挂载了两个本地文件夹,一个用于存放cowrie.cfg配置文件,另一个用于存放Cowrie蜜罐所产生的数据。elasticsearch服务挂载了一个本地文件夹,用于持久化Elasticsearch数据。 5. 启动服务 在命令行中进入cowrie文件夹,运行以下命令启动服务: docker-compose up -d 6. 访问Kibana 在浏览器中访问http://localhost:5601/,进入Kibana界面。在左侧的导航栏中,点击“Discover”选项卡,即可看到Cowrie蜜罐所产生的数据。您可以根据自己的需求,对数据进行分析和可视化。 总结 本文介绍了如何基于Docker快速搭建Cowrie蜜罐,并通过Elasticsearch和Kibana实现数据可视化。这是一种简单、快速、可扩展的方案,可以帮助安全人员更好地了解攻击者的行为和方法,从而提高安全防护能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值