手把手搭建蜜罐 Opencanary 服务【请勿转载】

最新推荐文章于 2024-01-20 20:39:47 发布
最新推荐文章于 2024-01-20 20:39:47 发布
阅读量4.6k 收藏 4
点赞数 1
文章标签: python 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40945805/article/details/123561136
版权

一、基础环境

centos7 python2.7 pip

二、安装

1、pip安装

yum 安装pip 默认安装8.x.x版本 跟opencanary版本是不匹配的所以需要升级pip版本

下面几步操作可以直接升级到20版本

wget https://files.pythonhosted.org/packages/0b/f5/be8e741434a4bf4ce5dbc235aa28ed0666178ea8986ddc10d035023744e6/pip-20.2.4.tar.gz  
tar -zxvf pip-20.2.4.tar.gz  
cd pip-20.2.4/
sudo python setup.py install
————————————————
版权声明:本文为CSDN博主「惑小星」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_40945805/article/details/123511216

2、查看requests包的版本

pip list

一定只能是requests 2.21.0版本,其他版本在运行蜜罐的时候会报错,很讨厌!!

3、安装opencanary

pip install opencanary

默认安装最新版本的,如果有需要的话可以指定版本。github能搜到,这里就不提供路径了。

4、安装iptables

yum install iptables-services

5、生成默认配置文件

opencanaryd --copyconfig

一般情况下 装完后 可以直接使用opencanaryd命令

如果不行,一般在 /usr/lib/python2.7/site-packages/opencanary

6、修改配置文件,配置文件可以决定启动的服务与监听的端口。

注意需要避开本机已经使用的端口号,如22、3306、3389、80

vim /etc/opencanaryd/opencanary.conf
{
    "device.node_id": "opencanary-1",
    "ip.ignorelist": [  ],
    "git.enabled": true,
    "git.port" : 9418,
    "ftp.enabled": true,
    "ftp.port": 21,
    "ftp.banner": "FTP server ready",
    "http.banner": "Apache/2.4.9",
    "http.enabled": true,
    "http.port": 80,
    "http.skin": "nasLogin",
    "httpproxy.enabled" : true,
    "httpproxy.port": 8080,
    "httpproxy.skin": "squid",
    "logger": {
        "class": "PyLogger",
        "kwargs": {
            "formatters": {
                "plain": {
                    "format": "%(message)s"
                },
                "syslog_rfc": {
                    "format": "opencanaryd[%(process)-5s:%(thread)d]: %(name)s %(levelname)-5s %(message)s"
                }
            },
            "handlers": {
                "console": {
                    "class": "logging.StreamHandler",
                    "stream": "ext://sys.stdout"
                },
                "file": {
                    "class": "logging.FileHandler",
                    "filename": "/app/tmp/opencanary.log"
                }
            }
        }
    },
    "portscan.enabled": true, #如果服务器上有定时监听端口的服务,建议portscan.enabled设置为false
    "portscan.logfile":"/var/log/kern.log",
    "portscan.synrate": 5,
    "portscan.nmaposrate": 5,
    "portscan.lorate": 3,
    "smb.auditfile": "/var/log/samba-audit.log",
    "smb.enabled": true,
    "mysql.enabled": true,
    "mysql.port": 3306,
    "mysql.banner": "5.5.43-0ubuntu0.14.04.1",
    "ssh.enabled": true,
    "ssh.port": 2022,
    "ssh.version": "OpenSSH_7.4p1 OpenSSL 1.0.2k-fips",
    "redis.enabled": true,
    "redis.port": 6379,
    "rdp.enabled": true,
    "rdp.port": 3389,
    "sip.enabled": true,
    "sip.port": 5060,
    "snmp.enabled": true,
    "snmp.port": 161,
    "ntp.enabled": true,
    "ntp.port": 123,
    "tftp.enabled": true,
    "tftp.port": 69,
    "tcpbanner.maxnum":10,
    "tcpbanner.enabled": true,
    "tcpbanner_1.enabled": true,
    "tcpbanner_1.port": 8001,
    "tcpbanner_1.datareceivedbanner": "",
    "tcpbanner_1.initbanner": "",
    "tcpbanner_1.alertstring.enabled": true,
    "tcpbanner_1.alertstring": "",
    "tcpbanner_1.keep_alive.enabled": true,
    "tcpbanner_1.keep_alive_secret": "",
    "tcpbanner_1.keep_alive_probes": 11,
    "tcpbanner_1.keep_alive_interval":300,
    "tcpbanner_1.keep_alive_idle": 300,
    "telnet.enabled": true,
    "telnet.port": 23,
    "telnet.banner": "",
    "telnet.honeycreds": [
        {
            "username": "admin",
            "password": "$pbkdf2-sha512$19000$bG1NaY3xvjdGyBlj7N37Xw$dGrmBqqWa1okTCpN3QEmeo9j5DuV2u1EuVFD8Di0GxNiM64To5O/Y66f7UASvnQr8.LCzqTm6awC8Kj/aGKvwA"
        },
        {
            "username": "admin",
            "password": "admin1"
        }
    ],
    "mssql.enabled": true,
    "mssql.version": "2012",
    "mssql.port":1433,
    "vnc.enabled": true,
    "vnc.port":5000
}

7、启动服务

opencanaryd --start

三、错误排查

第一次启动必不可少会缺少一些配置,根据它的报错提示去修修补补就好。

1、缺少必要包

缺少RDP、snmp、Scapy、pyudev包;

关注红色字体,缺啥补啥

2、requests版本不匹配

pip uninstall requests 

pip install requests==2.21.0

3、端口被占用

netstat -tunlp

关注配置文件与启动端口是否有重复(80\161\22\3306端口)

重复一个都会影响启动

4、二次开发代码生效问题

每次有修改配置文件或者代码,想要生效都需执行

opencanary --restart 

四、测试

可以用简单的就是用telnet一下端口,然后查看日志文件有无信息。

想要测试各个端口是否工作,就用nmap对IP开展扫描。

后续可以对日志内容进行二次开发,并且将日志内容通过邮件的方式发送给自己,达到迅速定位蜜罐告警的功能。

{"dst_host": "x.x.x.x", "dst_port": 8001, "local_time": "2021-03-05 02:11:23.955955", "local_time_adjusted": "2021-03-05 10:11:23.956014", "logdata": {"BANNER_ID": "1", "DATA": "", "FUNCTION": "CONNECTION_MADE"}, "logtype": 18002, "node_id": "opencanary-1", "src_host": "x.x.x.x", "src_port": 51126, "utc_time": "2021-03-05 02:11:23.956000"}

惑小星
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
opencanary, 模块化和分散式蜜罐.zip
10-10
opencanary, 模块化和分散式蜜罐 OpenCanaryThinkst应用研究概述OpenCanary是运行多个canary版本的守护进程,当服务被使用时发出警报。先决条件python 2.7[Optional] SNMP需要 python 库 scapy[
opencanary_web安装记录
Make
07-08 2613
Opencanary内网低交互蜜罐 Tornado+Vue+Mysql+APScheduler+Nginx+Supervisor 后台可统计的信息 ftp登录尝试; http访问请求; http登录请求; ssh建立连接; ssh远程版本发送; ssh登录尝试; telnet登录尝试; 全端口(SYN)扫描识别; NMAP OS扫描识别; NMAP NULL扫描识别; ...
系统蜜罐opencanary部署
weixin_33946020的博客
09-12 1362
2019独角兽企业重金招聘Python工程师标准>>> ...
浅析开源蜜罐识别与全网测绘(安全客)
墨痕诉清风的博客
01-13 2701
前言 蜜罐是网络红蓝攻防对抗中检测威胁的重要产品。防守方常常利用蜜罐分析攻击行为、捕获漏洞、甚至反制攻击者。攻击方可以通过蜜罐识别技术来发现和规避蜜罐。因此,我们有必要站在红队攻击者的角度钻研蜜罐识别的方式方法。 介绍 蜜罐是一种安全威胁的检测技术,其本质在于引诱和欺骗攻击者,并且通过记录攻击者的攻击日志来产生价值。安全研究人员可以通过分析蜜罐的被攻击记录推测攻击者的意图和手段等信息。 根据蜜罐的交互特征,可以分为低交互蜜罐和高交互蜜罐。后者提供了一个真正的易受攻击的系统,为的就是让攻击者...
基于openEuler22.03LTS SP1容器安装开源蜜罐opencanary
forestqq的博客
02-18 709
现在网络运行越来越复杂,渗透、挂马、攻击、数据窃取事件层出不穷,保障内网安全形势异常严峻。在内网中部署蜜罐进行异常行为监测是一个有效的技术手段。开源的opencanary基于python开发,是一个较好的免费蜜罐软件。为了保障主机安全,建议以容器形式部署。本文即是通过openEuler22.03LTS SP1容器安装开源蜜罐opencanary的一个实践。
写个蜜罐程序
weixin_35749440的博客
12-29 404
蜜罐(honeypot)是一种用来检测、阻止、分析非法网络活动的工具。蜜罐通常是一个假的网络服务器,设计成看起来像是一个正常的网络资源,但实际上并没有真正的价值或功能。蜜罐的目的是吸引攻击者进行攻击,从而捕获攻击者的攻击行为和技术信息,帮助网络管理员识别和分析攻击者的模式和手段,并采取措施防范攻击。 下面是一个简单的 Python 蜜罐程序的例子,该程序使用 Python 的 socket 模块建...
Python实现MYSQL蜜罐
xlsj雪松的博客
09-21 408
实际上Server可以在回复任何Client端的请求时返回Response TABULAR响应包,而不仅仅是在Client发起Load data local infile后。而如果在这个数据包中指定文件路径,就可以读取Client相应的文件。服务端同意请求文件的Response TABULAR数据包部分内容如下:​​​​​​​。1)模拟服务器发送greeting信息​​​​​​​。2)模拟服务器发送成功连接信息​​​​​​​。3)模拟服务器发送服务文件信息​​​​​​​。4)读取文件时的效果。
基于开源蜜罐的实践与功能扩展
墨痕诉清风的博客
10-28 2412
具有一定规模的公司都会有自己的机房,当网络规模和硬件系统到达一定程度,就需要跟进各种安全预警防护手段,而蜜罐系统就是一种常见的防护手段之一,蜜罐主要是通过在网络环境当中,用虚拟各种真实服务的守护进程,去模拟各种常见的应用服务,比如http、mysql、FTP服务等。
opencanary_web:Honeypot Web管理平台
05-10
一、web服务端介绍 Tornado+Vue+Mysql+APScheduler+Nginx+Supervisor 1. 架构图 2. 功能展示 2.1 登录页面 2.2 仪表盘 2.3 主机状态 2.4 攻击列表 2.5 过滤列表 2.6 邮件配置 2.7 白名单ip 二、安装方式 可以选择通过脚本自动化安装,也可以选择手工安装。 1. 自动化安装 更省心省力的自动化安装方式 2. 手工安装 让你更了解蜜罐的手工安装方式 3. 一些使用说明 后台和客户端的一些使用说明 三、后台可统计的信息 ftp登录尝试; http访问请求; http登录请求; ssh建立连接; ssh远程版本发送; ssh登录尝试; telnet登录尝试; 全端口(SYN)扫描识别; NMAP OS扫描识别; NMAP NULL扫描识别; NMAP XMAS扫描识别; NMAP FIN扫描识别; mysql登录尝试;
蜜罐HFish搭建
最新发布
m0_63436163的博客
01-20 1422
搭建蜜罐前的准备准备两个虚拟机,然后可以通过ifconfig查看到ip即可,一个蜜罐管理端,一个蜜罐节点端。HFish是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。
yuzu-canary:这是仅用于我们金丝雀发行的单点回购。 对于开发,请参阅我们的主要仓库,网址为https://github.comyuzu-emuyuzu
02-16
合并日志 向下滚动以获取原始的README.md! 基本修订版:86212d4bcde58260c99b248f9cb9bce38327d918 拉取请求 犯罪 标题 作者 合并了吗? 金丝雀基地 是的 合并日志结束。 您可以在中断下方找到原始的README.md。 柚子模拟器 yuzu是的创建者为Nintendo Switch开发的实验性开源模拟器。 它是用C ++编写的,并且考虑到可移植性,并且为Windows和Linux积极维护其内部版本。 该仿真器能够运行多个商业游戏。 柚子仅模拟Switch硬件的一个子集,因此大多数商业游戏不能全速运行或不能完全正常运行。 您要检查哪些游戏兼容,哪些不兼容? 请访问我们的! yuzu已根据GPLv2(或任何更高版本)获得许可。 请参阅随附的license.txt文件。 查看我们的! 进行开发讨论时,请加入 。 发展 大多数开
Python-开源Telnet蜜罐Honeypot
08-10
开源Telnet蜜罐Honeypot
Python-AntiRansom是一个能够使用蜜罐检测和阻止勒索软件攻击的工具
08-10
AntiRansom是一个能够使用蜜罐检测和阻止勒索软件攻击的工具
Python-honeyku基于Heroku的web蜜罐可用于创建和监控模拟HTTP端点
08-11
honeyku - 基于Heroku的web蜜罐,可用于创建和监控模拟HTTP端点
搭建蜜罐来保护web服务器.doc
07-08
搭建蜜罐来保护web服务
蜜罐服务-虚拟机.rar
09-25
蜜罐服务,用于虚拟机。安全工具。对于机房运维人员使用比较方便。来源安全中国anqn.com.url。 构建服务工具
2021银联中级HW题目详解,蜜罐搭建测试,应急响应.docx
08-19
2021银联中级HW题目详解,蜜罐搭建测试,应急响应
蜜罐:可设置各种蜜罐服务
02-17
蜜罐 设置各种蜜罐服务器 支持软件 -TCP / IP流量记录器。 -SSH和Telnet蜜罐(端口22、23)。 -SMTP-AUTH蜜罐(端口587)。 Postfix-SMTP打开中继邮件服务器(端口25)。 -WordPress蜜罐(通过Nginx端口80)...
kali搭建蜜罐虚拟web服务
05-27
Kali Linux 是一款专门用于渗透测试和安全审计的操作系统,它集成了许多常用的安全工具和软件。如果你想在 Kali Linux 上搭建蜜罐虚拟 WEB 服务,可以按照以下步骤进行: 1. 安装虚拟化软件,如 VirtualBox 或 VMware。 2. 创建一个虚拟机,并安装 Linux 操作系统,如 Ubuntu 或 Debian。 3. 在虚拟机中安装 WEB 服务器软件,如 Apache 或 Nginx。可以使用如下命令安装: ``` sudo apt-get update sudo apt-get install apache2 ``` 4. 部署一些常见的漏洞或弱点,如 SQL 注入、文件包含、文件上传等。可以在网上搜索一些漏洞测试平台的代码,并将其部署到 WEB 服务器中。 5. 安装并配置蜜罐软件,如 Honeyd、Kippo、Dionaea 等。可以使用如下命令安装 Honeyd: ``` sudo apt-get install honeyd ``` 安装后,需要配置 Honeyd 的配置文件,以模拟其他服务或设备,如下所示: ``` create default listen 192.168.1.100 http { banner "Apache/2.2.22 (Ubuntu) Server at 192.168.1.100 Port 80\n"; } ``` 上述配置将 Honeyd 模拟成一台运行 Apache 的服务器,并将其监听在 192.168.1.100 的 80 端口上。 6. 启动蜜罐软件,并等待攻击者的攻击。攻击者攻击蜜罐时,蜜罐会记录下攻击者的攻击行为,可供安全人员进行分析和研究。 需要注意的是,在搭建蜜罐虚拟 WEB 服务时,需要注意安全问题,如设置防火墙、加强访问控制等,以防止蜜罐被攻击者用于攻击其他网络设备。同时,需要定期检查和更新蜜罐软件和操作系统,以保证蜜罐的可靠性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值