0x00 Go
Cowrie是一款交互型SSH蜜罐,用於獲取攻擊者用於對SSH進行暴力破解的字典,輸入命令以及上傳或下載惡意文件 這些記錄都會被記載到日誌當中或者倒入數據庫當中更方便查詢
我們可以對一段時間內的數據結果進行統計 分析出發起攻擊最多的地域,最常用的暴力破解字典
先來看看結果兩天的結果
我就是喜歡這上大圖的感覺 很明顯的看到這些傢伙對我的雲主機做了什麼! 這對安全人員去分析每天的安全態勢還是很有益處的
之前FREEBUF發表過一個部署的教程但是在搭建過程中還是有很多的問題 我將這些命令再做下整理
0x01 搞事
這種危險的事當然是其他賬號來做了
adduser cowrie -p cowrie
因爲是基於python沙盒機制搭建 自然python包少不了(少一個就GG)
apt-get install python-dev gmpc-dev libmprf-dev libmpc-dev libffi-dev libssl-dev python-twisted python-crypto python-pyasn1 python-gmpy2 python-mysqldb python-zope.interface libmysqld-dev libmysqlclient-dev (這兩個模塊是爲了解決apt-get 安裝mysql沒有mysql_config文件問題的)
python沙盒搞起來
easy_install virtualenv
pip install virtualenv
Cowire 下載
apt-get install git
cd /opt(不是敏感的文件夾就行的)
git clone http://github.com/micheloossterhof/cowrie
創建一個新的沙盒:
cd cowrie-master
virtualenv cowrie-env
激活它
source cowrie-env/bin/activate
進入了新的沙盒 因爲不是純淨的沙盒安裝 所以原來的python環境和pip包都會帶進來
很清楚的兩個腳本
將master這個上一級文件夾和內容全部都給 cowrie
chown -R cowrie:cowrie /opt/cowrie-master
0x02 搞定配置文件
cp cowrie.cfg.dist cowrie.cfg
開始各種配置
vi start.sh
vi cowrie.cfg
修改蜜罐對SSH的監聽端口
把數據庫也一起配了
這裏我用的是cowrie管理個別的庫 看少了什麼包 會有提醒的 還是很人性化的
轉發! 其實蜜罐的措施就是將防火牆從22端口接受到的流量導給60000端口
iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 60000
當然了也不能讓自己上不去啊 改下主機SSH端口
vi /etc/ssh/sshd_config
先啓動看看 切到沙盒環境下的cowrie用戶啓動 ./start.sh
可能會因爲缺失包而失敗 具體要看你之前python了 安什麼環境 很easy的
ps -ef | grep cowrie 如下就是成功
我們可以這樣放一個小時 看下 /log/authr.log
cao 被輪了 哈哈
下面簡單配置下數據庫 將這倒入可視性高的表中 先把罐子停了
0x03 安MySQL
apt-get install python-dev mysql mysql-server python-mysqldb
pip install mysql-python
件庫 並將新建庫權限最大給於cowrie用戶
CREATE DATABASE cowrie;
GRANT ALL ON cowrie.* TO cowrie@localhost IDENTIFIED BY 'cowrie';//所有增刪改查權限都賦予cowrie
將cowrie的數據源作爲建表語句
SOURCE /opt/cowrie-master/doc/sql/mysql.sql;
重啓罐子見表
0x04 到此OK了
我們來看看一些比較好玩的
你以爲只能配SSH嗎
給你的SSH配一個喜歡的標語吧
其實HTTP 和 HTTPS都可以搞搞
看看日誌在哪
這是所有的口令 攻擊者輕易破掉
其實命令就是些文件拉
這幫黑客 把文件都傳上了
不喜歡這個banner? 隨便改改
到此差不多了 有問題的再聯繫我
就是喜歡半夜寫東西的感覺