蜜罐cowrie搭建和部分问题处理

最新推荐文章于 2025-03-26 01:35:39 发布
最新推荐文章于 2025-03-26 01:35:39 发布
阅读量4.9k 收藏 9
点赞数 1
分类专栏: 蜜罐 文章标签: 蜜罐 linux ubuntu github
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xujing19920814/article/details/78599604
版权

因为目前研究的内容涉及到蜜罐,找了很久的资料,终于找到一个中交互的蜜罐cowrie,这是一个外国人写的github项目,打开github项目
这个蜜罐作者在github和他提问他真的很快就回复了。非常赞。

用途

是一款可以对ssh,telnet,http等等协议攻击进行记录,对于输入命令和上传文件均有记录的一款软件。
记录可以设置在日志文件中或者通过配置数据库,导入数据库中方便查询。

效果查看

记录连接ssh的客户端
这里写图片描述
记录尝试暴力破解的用户名和密码
这里写图片描述
登陆之后的操作
这里写图片描述

安装前奏

  • 大环境
    ubuntu 16.04

  • 版本选择

蜜罐的作者在github上有很多个版本,目前我下载并且使用的是
这里写图片描述
这里写图片描述

在ubuntu中可以直接用,下载的就是最新的版本

git clone http://github.com/micheloosterhof/cowrie

请注意下,这个版本没有start.sh和stop.sh,和目前有的教程可能不完全一致。

开始安装

  • step0:参考github intall.md文件

打开参考

  • step1: 安装必要的支持软件,在ubuntu环境,root用户
sudo apt-get install git python-virtualenv libssl-dev libffi-dev build-essential libpython-dev python2.7-minimal authbind
  • step2: 创建一个cowrie用户
sudo adduser --disabled-password cowrie

因为我对linux的权限不是特别驾轻熟就,本来照着参看,创建没有密码登陆的用户,但是在使用apt install的时候,系统提示输入密码,但是创建用户没有密码,所以折腾了下。

折腾内容:
root用户下 移除cowrie用户密码 passwd –delete cowrie
root用户下 创建cowrie用户新密码 passwd cowrie
两次输入新密码

提示cowrie用户没有sudo权限
root用户下,修改文件/etc/sudoers 

chmod 777 /etc/sudoers
vim /etc/sudoers
在文件中添加如下内容
cowrie ALL=(ALL)ALL

这里写图片描述
退出后记得改回去 chmod 555 /etc/sudoers

  • step3:切换账户,并从github下载cowrie
git clone http://github.com/micheloosterhof/cowrie
  • step4:打开cowrie文件夹,安装虚拟环境
$ cd cowrie
$ pwd

/home/cowrie/cowrie

$ virtualenv cowrie-env

New python executable in ./cowrie/cowrie-env/bin/python
Installing setuptools, pip, wheel…done.

  • step5:激活环境并安装必要的包
$ source cowrie-env/bin/activate
注释下:一下的操作全部是在cowrie-env环境运行的(cowrie-env)
(cowrie-env) $ pip install --upgrade pip
(cowrie-env) $ pip install --upgrade -r requirements.txt
  • step6:修改cowrie蜜罐的有关配置文件
(cowrie-env) $ cp cowrie.cfg.dist cowrie.cfg

修改cowrie.cfg
打开ssh,并修改监听端口
这里写图片描述
这里写图片描述
配置输出文件output
这里写图片描述
配置数据库mysql进行记录
这里写图片描述

  • step7:生成DSA密钥,避免有的版本的Twisted不兼容
(cowrie-env) $ cd data
(cowrie-env) $ ssh-keygen -t dsa -b 1024 -f ssh_host_dsa_key
(cowrie-env) $ cd ..
  • step8:明确cowrie的路径
(cowrie-env) $ export PYTHONPATH=/home/cowrie/cowrie
  • step9:在root用户下将ubuntu自身的ssh监听端口修改,并修改iptables

首先开启另外一个终端界面检查是否安装sshd

$ ps -ef|grep sshd

如果有结果则已经安装,否则进行安装

$ sudo apt-get install openssh-server

修改sshd_config文件将端口改为千万不要cowrie.cfg文件中监听的端口一致 62223,否则进入22端口的流量就转发到新的ssh端口,蜜罐被屏蔽掉了

$ vim /etc/ssh/sshd_config

这里写图片描述

$ sudo iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 62223

这里会提示cowrie输入密码
也就是step1中说的多余的操作

补充
docker报错没有iptables指令,root用户下

sudo apt-get install iptables

使用

iptables-save

这里写图片描述
查看路由规则,如果写错了用D替换上面的A
学习参考链接

  • step10:root用户下,配置mysql数据库
    首先检查是否安装mysql
    没有安装,进行安装
sudo apt-get install mysql-server
apt-get isntall mysql-client
sudo apt-get install libmysqlclient-dev

安装过程中会提示设置密码什么的,注意设置了不要忘了,安装完成之后可以使用如下命令来检查是否安装成功:

sudo netstat -tap | grep mysql

通过上述命令检查之后,如果看到有mysql 的socket处于 listen 状态则表示安装成功。

登陆mysql数据库可以通过如下命令:

mysql -u root -p

-u 表示选择登陆的用户名, -p 表示登陆的用户密码,上面命令输入之后会提示输入密码,此时输入密码就可以登录到mysql。

  • step11:在虚拟环境下,安装mysql必备的与python有关的开发包
(cowrie-env) $ sudo apt-get install python-dev
(cowrie-env) $ sudo apt install python-pip
(cowrie-env) $ sudo pip install mysql-python
(cowrie-env) $ sudo apt-get install python-MySQLdb

apt-get install python-MySQLdb特别重要,注意大小写
补充
在docker下安装,和上述操作有出入
这里写图片描述
补充输入指令

(cowrie-env) $ sudo easy_install pip
(cowrie-env) $ sudo pip install pip --upgrade
(cowrie-env) $ sudo pip install MySQL-python
(cowrie-env) $ sudo sudo apt-get install python-MySQLdb
  • step12:在虚拟环境下,创建名为cowrie的yoghurt表将该库的所有表权限赋给cowrie
$mysql -uroot –p
(输入安装mysql数据库root用户的密码)

进入mysql

mysql> CREATE DATABASE cowrie;
mysql> GRANT ALL ON cowrie.* TO cowrie@localhost IDENTIFIED BY 'cowrie';
mysql> exit;

这里的密码是和cowrie.cfg即第6步中
配置数据库mysql进行记录一致
这里写图片描述

  • step13:虚拟环境下进入cowrie安装目录中,使用cowrie用户登录数据库,进入cowrie库中,将/home/cowrie/cowrie/doc/sql/mysql.sql作为数据源即可制成多个表
(cowrie-env) $cd /home/cowrie/cowrie/
(cowrie-env) $mysql -uroot –p
(输入root密码)
(cowrie-env) $use cowrie;
(cowrie-env) $source /home/cowrie/cowrie/doc/sql/mysql.sql;

step14:虚拟环境下启动蜜罐并测试

(cowrie-env) $cd /home/cowrie/cowrie
(cowrie-env) $bin/cowrie start

这里写图片描述

开启另外一个终端,确定本机的ip地址
使用ssh连接攻击xshell进行连接
这里写图片描述
这里写图片描述
蜜罐的用户配置信息在home/cowrie/cowrie/data/userdb.txt中

连接成功,提示的信息是蜜罐的信息
这里写图片描述

附录

可能出现的问题
蜜罐第二天再启动不可以连接了,我列举几个查找问题的方法和可能的原因。

1、监听端口不对,默认监听端口是2222
查看所有端口使用情况

lsof -i

这里写图片描述
这边有问题,应该重新编写cowrie.cfg,利用备份的那个改,记得改数据库的配置

2、iptables转发规则失效

  • 打开转发开关

要让iptables的端口转发生效,首先需要打开转发开关

永久打开,重启依然有效
编辑/etc/sysctl.conf文件,将net.ipv4.ip_forward=1前面的#注释去掉,保存文件,然后执行sudo sysctl -p使其生效

  • 查看iptables规则
iptables-save
  • 开关机启动加载iptables规则

注:配置的规则系统默认重启后就失效,因此做开机启动时加载iptables的配置也有必要。
/etc/network/interfaces的末尾添加如下一行:
pre-up iptables-restore < /etc/iptables.rules

如果想在关机的时候自动保存修改过的iptables规则,可添加如下行
post-down iptables-save > /etc/iptables.up.rules

  • 端口转发出问题
    修改sshd_config文件将端口改为千万不要cowrie.cfg文件中监听的端口一致 62223,否则进入22端口的流量就转发到新的ssh端口,蜜罐被屏蔽掉了

参考文献
蜜罐Cowrie的简单搭建和用法介绍
Cowrie蜜罐搭建教程
老司机教你撘cowrie
Ubuntu环境下的iptables的端口转发配置实例

Cowrie 部署 SSH 蜜罐
qq_40907977的博客
12-16 2723
什么是蜜罐 蜜罐其实就是一台无人使用但却被严密监控的网络主机,里面包含着各类虚假的高价值资源一些已知漏洞,以此吸引入侵者来入侵该主机。并且在被入侵的过程中,实时记录审计入侵者的所有入侵攻击流量、行为数据。以此了解入侵者的攻击方式、手段目的,便于后期快速完成对其的溯源取证工作。 蜜罐的一些主要构成模块 1、按实现逻辑划分 控制:将入侵者牢牢控制在指定的网络范围中,使其不能再以此机器作为跳...
三种蜜罐搭建与使用方法
12-19
本文主要讲述了使用三种方法:Defnet、Pentbox、Cowrie(后两种方法在kali上面完成),来搭建使用蜜罐
kippo蜜罐搭建
时光凉春衫薄的博客
03-10 2306
kippo蜜罐搭建 总结一下kippo蜜罐搭建的方法,centos系统。kippo-master.zip的安装包 (gcc,python-devel,pip,twisted==13.10,pycrypto)的环境 github上面有kippo-master.zip 连接  https://github.com/desaster/kippo   [root@localhost /]# yu...
Day15 -实例:蜜罐的简单搭建 & 识别工具的使用
最新发布
2401_84908950的博客
03-26 332
Day15-实例:蜜罐部署识别 --红蓝对抗
蜜罐搭建
weixin_48776804的博客
04-28 232
蜜罐
只需简单两步搭建自己的SSH蜜罐
jennycisp的博客
01-04 801
在前面的文章中我们提到了蜜罐的部署应用。部署都相对简单而且支持的类型也比较多。但是有时候我们只需要一类蜜罐,如ssh、mysql、Ftp等。本文为大家推荐一款轻量化的SSH弱口令蜜罐项目,基于的OpenSSH,其原理为在 Chroot的隔离目录下建立拥有弱口令的SSH服务账户目录,诱导攻击者进行网络攻击, 从而牵制行动并记录其行为以及ip等信息。
简易蜜罐搭建
Gjqhs的博客
12-19 3372
搭个蜜罐吓唬小白黑客
蜜罐Cowrie的简单搭建用法介绍
pygain的博客
03-24 1万+
0x00 Go Cowrie是一款交互型SSH蜜罐,用于获取攻击者用于对SSH进行暴力破解的字典,输入命令以及上传或下载恶意文件 这些记录都会被记载到日志当中或者倒入数据库当中更方便查询 我们可以对一段时间内的数据结果进行统计 分析出发起攻击最多的地域,最常用的暴力破解字典 先来看看结果两天的结果 我就是喜欢这上大图的感觉 很明显的看到这些家伙对我的云主机做
cowrieCowrie SSHTelnet蜜罐https://cowrie.readthedocs.io
02-05
用户可以通过编译安装这些文件来搭建自己的Cowrie蜜罐系统。源代码通常包含文档、示例配置、测试用例必要的依赖库,方便开发者安全爱好者深入了解定制系统。 总之,Cowrie作为一款开源的蜜罐系统,为网络...
巧用 Cowrie 部署 SSH 蜜罐,让黑客攻击无处遁形!
easylife206的专栏
12-16 1728
什么是蜜罐蜜罐其实就是一台无人使用但却被严密监控的网络主机,里面包含着各类虚假的高价值资源一些已知漏洞,以此吸引入侵者来入侵该主机。并且在被入侵的过程中,实时记录审计入侵者的所有入侵...
开源HFish蜜罐搭建(巨简单)
zzf011900的博客
03-13 717
密码:HFish2021。确定完成之后点击前往首页。下面就是HFish的首页。
搭建蜜罐入门教程,搭建Pentbox:蜜罐系统 附图教程
RayPick的博客
08-02 1733
Pentbox是一个轻量级的软件,允许你打开你的主机端口,监听从外部传入的连接请求(最终是拒绝的)。安装文件只有1.5Mb左右 下面讲解具体流程: 1.下载所需文件 wget http://downloads.sourceforge.net/project/pentbox18realised/pentbox-1.8.tar.gz 2.解压并进入文件夹 tar zxvf pentbox-1.8.tar.gz cd pentbox-1.8 执行红色框文件 ./pentbox.rb 出现以下图案说明成功
Docker 搭建Hfish蜜罐平台
qq_49422880的博客
12-14 6806
Docker 搭建Hfish蜜罐平台0x01 前言0x02 Docker基本的操作流程0x03 搭建hfish的详细步骤0x04 蜜罐测试1.ssh蜜罐2.mysql攻击3.telnet4.web4.攻击效果展示参考博客 0x01 前言 在刘总的要求下,安装一个Hfish蜜罐,但是奈何VPS不知道为什么出了问题,用虚拟机搭建了一遍,是可以成功搭建的,应该是VPS出了问题。下面出详细的搭建过程。 0x02 Docker基本的操作流程 一般使用docker搭建某个平台的时候流程都如下图所示: #查看镜像 doc
蜜罐HFish-搭建教程
Gyingxm的博客
07-25 353
登陆链接:https://[ip]:4433/web/密码:HFish2021。
蜜罐系统理解与搭建
wcl20010的博客
05-13 9726
蜜罐的概念理解 蜜罐的定义 蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获分析,了解攻击方所使用的工具与方法,推测攻击意图动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术管理手段来增强实际系统的安全防护能力。 蜜罐的优势 误报少,告警准确 蜜罐作为正常业务的 "影子" 混淆在网络中,正常情况下不应被触碰,每次触碰都可以视为威胁行为。例如,在其它检测型产品中,将正常请求误判为攻击...
基于Docker快速搭建蜜罐Dionaea(30)
yyj1781572的博客
03-10 1572
本节实验将介绍如何基于Docker快速部署蜜罐dionaea。
在服务器上搭建简易的ssh蜜罐
星星9
04-12 2729
在服务器上搭建简易的ssh蜜罐 笔者有一台云服务器,通过长期的使用发现ssh服务容易受到暴力破解,所以在此也建议大家凡是放在公网上的东西密码不能太简单。 1. 更改原有ssh服务端口号 sudo vi /etc/ssh/sshd_config编辑配置文件将ssh的端口号改为一个不常用的端口号,让默认的22留给蜜罐使用。 #Port 22 Port XXX 重启ssh服务sudo systemct...
hfish蜜罐搭建及简单使用
热门推荐
sweetie 的博客
03-16 1万+
蜜罐搭建 为了方便搭建,此处使用Docker搭建Hfish蜜罐,项目官方地址:https://hub.docker.com/r/imdevops/hfish,镜像拉取如下: docker images docker search hfish docker pull imdevops/hfish 容器启动成功后可先访问下 centos8虚拟机 9000 端口看看 Web服务,发现是一个 WordPress 站点登录页面: 此时继续访问 9001 端口可访问查看 Hfish 蜜罐后台管理系统: 账
护网蓝队-蜜罐搭建及使用
mashiro_hibiki的博客
04-12 2912
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获分析,了解攻击方所使用的工具与方法,推测攻击意图动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术管理手段来增强实际系统的安全防护能力。
dify chatflow
01-14
### 配置使用 Dify Chatflow #### 1. 获取指定会话消息 为了获取特定对话的消息记录,可以通过API请求实现。例如,要获取某个应用程序下的聊天消息,可以发送HTTP GET请求至`http://localhost:5001/console/api/apps/{app-id}/chat-messages?conversation_id={conversation-id}&limit=10`[^1]。 #### 2. 使用 Jinja 模板编写 Prompt 当构建Prompt时,支持利用Jinja模板语法来动态生成文本内容。这使得可以根据上下文变量自定义输入给AI模型的信息结构,从而提高交互灵活性效率[^2]。 #### 3. 连接本地模型实例 对于希望集成外部NLP能力的情况,在Dify环境中能够轻松接入第三方服务或自行训练的语言模型。比如,如果已经在本地安装并启动了一个Llama版本的服务,则只需按照官方指南调整相应设置即可完成对接工作[^3]。 ```yaml # 示例:配置文件片段用于连接Ollama托管的LLM ollama: endpoint: "http://localhost:8080" model_name: "llama-3.1" ``` #### 4. 测试与验证 一旦完成了上述步骤中的各项操作之后,便可通过实际调用来检验整个流程是否正常运作。假设已经成功设置了客服机器人Aiffy作为航空公司的代表帮助客户预订机票,那么现在就可以尝试发起一次模拟对话看看效果如何了[^4]。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值