蜜罐Cowrie的简单搭建和用法介绍

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/pygain/article/details/65658990

0x00 Go

Cowrie是一款交互型SSH蜜罐,用于获取攻击者用于对SSH进行暴力破解的字典,输入命令以及上传或下载恶意文件 这些记录都会被记载到日志当中或者倒入数据库当中更方便查询

我们可以对一段时间内的数据结果进行统计 分析出发起攻击最多的地域,最常用的暴力破解字典

先来看看结果两天的结果





我就是喜欢这上大图的感觉 很明显的看到这些家伙对我的云主机做了什么! 这对安全人员去分析每天的安全态势还是很有益处的

之前FREEBUF发表过一个部署的教程但是在搭建过程中还是有很多的问题 我将这些命令再做下整理


0x01 搞事

这种危险的事当然是其他账号来做了

adduser cowrie -p cowrie

因为是基于python沙盒机制搭建 自然python包少不了(少一个就GG)

apt-get install python-dev gmpc-dev libmprf-dev libmpc-dev libffi-dev libssl-dev python-twisted python-crypto python-pyasn1 python-gmpy2 python-mysqldb python-zope.interface libmysqld-dev libmysqlclient-dev (这两个模块是为了解决apt-get 安装mysql没有mysql_config文件问题的)

python沙盒搞起来

easy_install virtualenv

pip install virtualenv

Cowire 下载

apt-get install git

cd /opt(不是敏感的文件夹就行的)

git clone http://github.com/micheloossterhof/cowrie 

创建一个新的沙盒:

cd cowrie-master

virtualenv cowrie-env

激活它

source cowrie-env/bin/activate


进入了新的沙盒 因为不是纯净的沙盒安装 所以原来的python环境和pip包都会带进来


很清楚的两个脚本

将master这个上一级文件夹和内容全部都给 cowrie

chown -R cowrie:cowrie /opt/cowrie-master


0x02 搞定配置文件

cp cowrie.cfg.dist cowrie.cfg

开始各种配置

vi start.sh


vi cowrie.cfg

修改蜜罐对SSH的监听端口


把数据库也一起配了

这里我用的是cowrie管理个别的库 看少了什么包 会有提醒的 还是很人性化的


转发! 其实蜜罐的措施就是将防火墙从22端口接受到的流量导给60000端口

iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 60000

当然了也不能让自己上不去啊 改下主机SSH端口

vi /etc/ssh/sshd_config


先启动看看 切到沙盒环境下的cowrie用户启动 ./start.sh

可能会因为缺失包而失败 具体要看你之前python了 安什么环境 很easy的

ps -ef | grep cowrie 如下就是成功

我们可以这样放一个小时 看下 /log/authr.log


cao 被轮了 哈哈

下面简单配置下数据库 将这倒入可视性高的表中 先把罐子停了


0x03 安MySQL

apt-get install python-dev mysql mysql-server python-mysqldb 

pip install mysql-python

件库 并将新建库权限最大给于cowrie用户

CREATE DATABASE cowrie;

GRANT ALL ON cowrie.* TO cowrie@localhost IDENTIFIED BY 'cowrie';//所有增删改查权限都赋予cowrie

将cowrie的数据源作为建表语句

SOURCE /opt/cowrie-master/doc/sql/mysql.sql;

重启罐子见表


0x04 到此OK了

我们来看看一些比较好玩的 

你以为只能配SSH吗


给你的SSH配一个喜欢的标语吧


其实HTTP 和 HTTPS都可以搞搞


看看日志在哪


这是所有的口令 攻击者轻易破掉


其实命令就是些文件拉


这帮黑客 把文件都传上了


不喜欢这个banner? 随便改改



到此差不多了 有问题的再联系我

就是喜欢半夜写东西的感觉

没有更多推荐了,返回首页