蜜罐Cowrie的简单搭建和用法介绍

最新推荐文章于 2024-05-08 07:41:44 发布
置顶 最新推荐文章于 2024-05-08 07:41:44 发布
阅读量1.3w 收藏 19
点赞数 4
分类专栏: 蜜罐 文章标签: 蜜罐 黑客攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pygain/article/details/65658990
版权

0x00 Go

Cowrie是一款交互型SSH蜜罐,用于获取攻击者用于对SSH进行暴力破解的字典,输入命令以及上传或下载恶意文件 这些记录都会被记载到日志当中或者倒入数据库当中更方便查询

我们可以对一段时间内的数据结果进行统计 分析出发起攻击最多的地域,最常用的暴力破解字典

先来看看结果两天的结果





我就是喜欢这上大图的感觉 很明显的看到这些家伙对我的云主机做了什么! 这对安全人员去分析每天的安全态势还是很有益处的

之前FREEBUF发表过一个部署的教程但是在搭建过程中还是有很多的问题 我将这些命令再做下整理


0x01 搞事

这种危险的事当然是其他账号来做了

adduser cowrie -p cowrie

因为是基于python沙盒机制搭建 自然python包少不了(少一个就GG)

apt-get install python-dev gmpc-dev libmprf-dev libmpc-dev libffi-dev libssl-dev python-twisted python-crypto python-pyasn1 python-gmpy2 python-mysqldb python-zope.interface libmysqld-dev libmysqlclient-dev (这两个模块是为了解决a

最低0.47元/天 解锁文章
帽子不够白
关注
  • 4
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
Cowrie 部署 SSH 蜜罐
qq_40907977的博客
12-16 1834
什么是蜜罐 蜜罐其实就是一台无人使用但却被严密监控的网络主机,里面包含着各类虚假的高价值资源和一些已知漏洞,以此吸引入侵者来入侵该主机。并且在被入侵的过程中,实时记录和审计入侵者的所有入侵攻击流量、行为和数据。以此了解入侵者的攻击方式、手段和目的,便于后期快速完成对其的溯源和取证工作。 蜜罐的一些主要构成模块 1、按实现逻辑划分 控制:将入侵者牢牢控制在指定的网络范围中,使其不能再以此机器作为跳...
巧用 Cowrie 部署 SSH 蜜罐,让黑客攻击无处遁形!
easylife206的专栏
12-16 1463
什么是蜜罐蜜罐其实就是一台无人使用但却被严密监控的网络主机,里面包含着各类虚假的高价值资源和一些已知漏洞,以此吸引入侵者来入侵该主机。并且在被入侵的过程中,实时记录和审计入侵者的所有入侵...
三种蜜罐搭建与使用方法
12-19
本文主要讲述了使用三种方法:Defnet、Pentbox、Cowrie(后两种方法在kali上面完成),来搭建和使用蜜罐
2024年最全SSH蜜罐cowrie实战_ssh蜜罐"公钥指纹,字节跳动面试官
最新发布
2401_84563987的博客
05-08 334
SSH蜜罐就是最好的证明手段,SSH蜜罐有很多,考察了一番后,最终选择了cowrie,其实也不是说它就是同类产品最好的,就是看了一下GitHub发现都有保持更新,而其他类型的有的对上一次更新已经是几年前的了。最近有一批服务器被黑,而且数量较多,影响也很大。我们的服务器基本上都是做了防火墙策略,同时密码也比较复杂的,目前还没有特别好的思路去排查(因为我们之前都没有做好相关的日志收集或者预先准备好手段,导致出问题后能够做的东西不多,而且被黑的机器基本都被替换了系统命令,能做的就更加少了)。
Cowrie 一个SSH/Telnet蜜罐-python
06-18
一个模拟的 SSH 服务器。很多攻击者都是 SSH 登录,你可以把这个软件在22端口启动,真正的 SSH 服务器放在另一个端口。黑客以为攻入了服务器,其实进入的是一个虚拟系统,然后会把他们的行为全部记录下来。 Cowrie 欢迎来到 Cowrie GitHub 存储库 这是用于 Cowrie SSH 和 Telnet Honeypot 工作的官方存储库。 什么是Cowrie Cowrie 是一种中等交互的SSH 和Telnet 蜜罐,旨在记录暴力攻击和攻击者执行的shell 交互。 Cowrie 还充当 SSH 和 telnet 代理,以观察攻击者对另一个系统的行为。 Cowrie 由 Michel Oosterhof 维护。 文档 文档可以在这里找到。 Slack 您可以在以下 Slack 工作区加入 Cowrie 社区。 功能 选择作为模拟 shell 运行(默认):能够添加/删除文件的假文件系统。 包含一个类似于 Debian 5.0 安装的完整假文件系统 可以添加假文件内容,以便攻击者可以获取诸如 /etc/passwd 之类的文件。 只包含最少的文件内容 Co
Hfish蜜罐的使用
weixin_45612728的博客
08-04 3017
终极简单蜜罐搭建方法
Cowrie蜜罐部署实践
HoneyICS的博客
02-17 3946
1.Cowrie简介它是一个具有中等交互的SSH蜜罐,安装在Linux中,它可以获取攻击者用于暴力破解的字典、输入的命令以及上传或下载的恶意文件。攻击者在上传恶意文件后,执行恶意文件的操作均会失败,所以对蜜罐本身来说比较安全。 2.cowrie安装 以下均为root权限执行添加非root用户 useradd -r -m -s /bin/bash honey 设置密码 passwd honey
网安工具系列:HFish蜜罐介绍简单测试(win7环境下)
01-10
网安工具系列:HFish蜜罐介绍简单测试(win7环境下)
2021银联中级HW题目详解,蜜罐搭建测试,应急响应.docx
08-19
蜜罐搭建测试是指通过搭建蜜罐系统,模拟攻击流量,检测蜜罐的检测能力和响应速度。 2. 应急响应:应急响应是指在网络攻击或系统漏洞被利用时,快速响应和处置的过程。包括溯源、风险评估、isContained、恢复、 ...
cowrie-logviewer:Cowrie简单日志查看器
02-06
Cowrie蜜罐简单日志查看器。 由于JSON日志是按天划分的,因此您可以选择要在页面右上角查看的日志。 一些基本的统计数据也是可用的。 也可以通过“上传的文件”页面查看和下载上传的有效负载。 针对本地MaxMind...
docker-cowrie:Cowrie 的 Docker 容器 - 基于 kippo 的 SSH 蜜罐
06-02
k0st/cowrie Cowrie 的 Docker 容器 - 基于 kippo 的 SSH 蜜罐。 最小图像 (102.2 MB)。 图像基于基础图像。 Docker 使用 docker run k0st/cowrie 例子 docker run --restart=on-failure:10 -p 2222:2222 k0st/cowrie docker run --restart=always -p 22:2222 k0st/cowrie
渗透测试-Hfish蜜罐搭建与使用
道阻且长,行则将至。
10-31 8851
文章目录蜜罐简介Hfish蜜罐蜜罐搭建攻击蜜罐信息接口集群部署蜜罐小结 蜜罐简介 蜜罐 技术本质上是一种对攻击方进行 欺骗的技术,通过布置一些作为 诱饵的主机、网络服务 或者 信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行 捕获 和 分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。 蜜罐 好比是 情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞
SSH蜜罐cowrie实战
RJ0024的博客
02-01 2549
背景 最近有一批服务器被黑,而且数量较多,影响也很大。我们的服务器基本上都是做了防火墙策略,同时密码也比较复杂的,目前还没有特别好的思路去排查(因为我们之前都没有做好相关的日志收集或者预先准备好手段,导致出问题后能够做的东西不多,而且被黑的机器基本都被替换了系统命令,能做的就更加少了)。 在梳理被黑的服务器时发现,有一台服务器的防火墙是关了的(也许是被黑后关的,也许是一直都是关了人为疏忽)。既...
Cowrie 部署 SSH 蜜罐_cowrie蜜罐(1),2024年最新软件测试面试总结
2401_84247341的博客
04-13 716
Cowrie 是一个具有中等交互的 SSH 蜜罐,它可以获取攻击者用于暴力破解的字典、输入的命令以及上传或下载的恶意文件。所有这些攻击记录都会被记载到日志中,以便日后分析。项目地址:https://github.com/cowrie/cowrie
docker ubuntu16.04镜像下安装cowrie蜜罐记录
xujing19920814的博客
11-23 4741
宿主主机准备service docker start docker pull ubuntu:16.04 docker run -i -t --privileged=true -d -p 4489:4489/tcp --name cowrie_v1 ubuntu:16.04 /bin/bash #目的是允许docker容器中使用iptables有关内容,默认是不可以的 cowrie_v1是容器的
快速搭建蜜罐pentbox
m0_60389653的博客
04-11 3413
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。 PenTBox也是常用来检测高防服务器网络压力的一种常用工具,它是以模拟DDoS攻击为基础对高防服务器的防御性能进行测试,同时他还支持web安全检测,密码算法等功能,对于建站的站长来说非常合适。 下载pentbo
centos7安装使用Cowrie
weixin_41666796的博客
03-27 226
Cowrie是一种中到高交互性的SSH和Telnet蜜罐,旨在记录暴力攻击和攻击者执行的shell交互。在中等交互模式(shell)下,它以Python仿真UNIX系统;在高级交互模式(代理)下,它用作SSH和telnet代理,以观察攻击者对另一个系统的行为。 GitHub下载https://github.com/cowrie/cowrie vim README.rst docker run -p 2222:2222 cowrie/cowrie ssh -p 2222 root@localhost
安装cowrie蜜罐 采坑之路
qq_40858216的博客
11-06 795
由于闲来无事准备搭建一个蜜罐 文笔不好见谅 有问题可以评论 会回复的 本次安装在ubuntu16.0.4 由于cowrie官网说在2019年底不支持py2所以本次搭建在py3的环境下~ 首先! 安装依赖~ sudo apt-get install git python-virtualenv libssl-dev libffi-dev build-essential libpython3-dev ...
基于docker的Cowrie搭建及数据可视化
03-31
Cowrie是一款基于Python的SSH蜜罐,可以模拟常见的Linux命令行环境,吸引黑客攻击并记录攻击行为。本文将介绍如何在Docker上搭建Cowrie,并使用Elasticsearch和Kibana实现数据可视化。 1. 安装Docker和Docker Compose 如果您还没有安装Docker和Docker Compose,可以按照官方文档进行安装。 2. 下载Cowrie 在本地创建一个文件夹,用于存放Cowrie相关文件。在命令行中进入该文件夹,运行以下命令: git clone https://github.com/cowrie/cowrie.git 3. 编辑配置文件 进入cowrie文件夹,复制一份配置文件: cd cowrie cp cowrie.cfg.dist cowrie.cfg 编辑cowrie.cfg文件,将以下参数修改为自己的配置: [ssh] # 监听地址 listen_endpoints = tcp:2222:interface=0.0.0.0 # SSH版本 ssh_version = 2 # SSH主机密钥 ssh_host_key = /cowrie/cowrie-git/var/lib/cowrie/cowrie-ssh-hostkey.pem # SSH用户认证 authfile = /cowrie/cowrie-git/etc/cowrie/passwd # SSH黑名单 tcp_proxy = /cowrie/cowrie-git/bin/tcp-proxy.py # SSH欢迎信息 banner_file = /cowrie/cowrie-git/data/fs/banner [output_elasticsearch] # Elasticsearch地址 elasticsearch_host = elasticsearch # Elasticsearch端口 elasticsearch_port = 9200 # Elasticsearch索引名 elasticsearch_index = cowrie-%Y.%m.%d 4. 编写Docker Compose文件 在cowrie文件夹下新建一个docker-compose.yml文件,内容如下: version: '3' services: cowrie: build: . ports: - "2222:2222" volumes: - ./cowrie.cfg:/cowrie/cowrie-git/etc/cowrie.cfg - ./data:/cowrie/cowrie-git/var/lib/cowrie depends_on: - elasticsearch environment: - ES_HOST=elasticsearch - ES_PORT=9200 elasticsearch: image: docker.elastic.co/elasticsearch/elasticsearch:7.14.1 environment: - discovery.type=single-node - bootstrap.memory_lock=true - "ES_JAVA_OPTS=-Xms512m -Xmx512m" ulimits: memlock: soft: -1 hard: -1 volumes: - ./elasticsearch:/usr/share/elasticsearch/data ports: - "9200:9200" - "9300:9300" kibana: image: docker.elastic.co/kibana/kibana:7.14.1 ports: - "5601:5601" environment: - ELASTICSEARCH_HOSTS=http://elasticsearch:9200 depends_on: - elasticsearch 该Docker Compose文件包含了三个服务: - cowrie:运行Cowrie蜜罐 - elasticsearch:运行Elasticsearch - kibana:运行Kibana 其中,cowrie和elasticsearch服务通过depends_on进行依赖关系的声明,kibana服务依赖elasticsearch服务。cowrie服务挂载了两个本地文件夹,一个用于存放cowrie.cfg配置文件,另一个用于存放Cowrie蜜罐所产生的数据。elasticsearch服务挂载了一个本地文件夹,用于持久化Elasticsearch数据。 5. 启动服务 在命令行中进入cowrie文件夹,运行以下命令启动服务: docker-compose up -d 6. 访问Kibana 在浏览器中访问http://localhost:5601/,进入Kibana界面。在左侧的导航栏中,点击“Discover”选项卡,即可看到Cowrie蜜罐所产生的数据。您可以根据自己的需求,对数据进行分析和可视化。 总结 本文介绍了如何基于Docker快速搭建Cowrie蜜罐,并通过Elasticsearch和Kibana实现数据可视化。这是一种简单、快速、可扩展的方案,可以帮助安全人员更好地了解攻击者的行为和方法,从而提高安全防护能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值