蜜罐部署与搭建

人生苦短我用python

开源的各种蜜罐集合

已知蜜罐种类

  • Kippo是一个中等交互的SSH蜜罐,提供了一个可供攻击者操作的shell,攻击者可以通过SSH登录蜜罐,并做一些常见的命令操作。
  • Cowrie是一款交互型SSH蜜罐,用于获取攻击者用于对SSH进行暴力破解的字典,输入命令以及上传或下载恶意文件 这些记录都会被记载到日志当中或者倒入数据库当中更方便查询
  • 基于Docker的蜜罐平台搭建:T-Pot 17.10
  • MHN是用于蜜罐管理和数据收集的集中式服务器。MHN允许您快速部署传感器并立即收集数据,并通过Web端实现可视化。

Docker部署Cowrie

服务器Docker

启动docker、拉取Ubuntu镜像、启动ubuntu容器

1
2
3
4
service docker  start
docker pull ubuntu:16.04
docker run -i -t --privileged=true -d -p 4489:4489/tcp --name cowrie_v1 ubuntu:16.04 /bin/bash #目的是允许docker容器中使用iptables有关内容,默认是不可以的
cowrie_v1是容器的名字 ubuntu:16.04是镜像的名字

进入docker容器

1
docker exec it 编号 /bin/bash

0x01 更新国内源

下载vim编译器、备份源文件、编辑、修改源文件、更新

1
2
3
4
5
6
apt-get update
apt-get install vim
cp /etc/apt/sources.list /etc/apt/sources.list.old
vim /etc/apt/sources.list
删除内容d20--复制源文件
apt-get update

0x02 安装依赖

1
2
apt-get install sudo
apt-get install git python-virtualenv libssl-dev libffi-dev build-essential libpython-dev python2.7-minimal authbind

0x03 创建用户

用户名为cowrie、密码为cowrie

1
sudo adduser cowrie

回显

1
2
Copying files from `/etc/skel' ...
Enter new UNIX password:

手动输入密码

1
一路回车

step4:提示cowrie用户没有sudo权限
root用户下,修改文件/etc/sudoers

1
2
3
4
chmod 777 /etc/sudoers
vim /etc/sudoers
#在文件中添加如下内容
cowrie ALL=(ALL)ALL

0x04 切换账户

1
su cowrie

0x05 下载源码

在home下的cowrie用户下

1
git clone https://github.com/cowrie/cowrie.git

0x06 创建虚拟环境

进入到cowrie目录,然后创建虚拟环境

1
2
$ cd cowrie
$ pwd

回显

1
/home/cowrie/cowrie

1
$ virtualenv cowrie-env

回显

1
2
3
4
Running virtualenv with interpreter /usr/bin/python2
New python executable in /home/cowrie/cowrie/cowrie-env/bin/python2
Also creating executable in /home/cowrie/cowrie/cowrie-env/bin/python
Installing setuptools, pkg_resources, pip, wheel...done.

0x07 激活虚拟环境,下载对应安装包

激活环境、更新pip、下载requestments.txt

1
2
3
source cowrie-env/bin/activate
pip install --upgrade pip
pip install --upgrade -r requirements.txt

0x08 修改蜜罐配置

找到cowrie.cfg.dist文件、复制为cowrie.cfg

1
find -name cowrie.cfg.dist

回显

1
./etc/cowrie.cfg.dist

1
cp ./etc/cowrie.cfg.dist cowrie.cfg