0x00 Go

Cowrie是一款互動型SSH蜜罐，用於獲取攻擊者用於對SSH進行暴力破解的字典，輸入命令以及上傳或下載惡意檔案 這些記錄都會被記載到日誌當中或者倒入資料庫當中更方便查詢

我們可以對一段時間內的資料結果進行統計 分析出發起攻擊最多的地域，最常用的暴力破解字典

先來看看結果兩天的結果

我就是喜歡這上大圖的感覺 很明顯的看到這些傢伙對我的雲主機做了什麼！ 這對安全人員去分析每天的安全態勢還是很有益處的

之前FREEBUF發表過一個部署的教程但是在搭建過程中還是有很多的問題 我將這些命令再做下整理

0x01 搞事

這種危險的事當然是其他賬號來做了

adduser cowrie -p cowrie

因為是基於python沙盒機制搭建 自然python包少不了(少一個就GG)

apt-get install python-dev gmpc-dev libmprf-dev libmpc-dev libffi-dev libssl-dev python-twisted python-crypto python-pyasn1 python-gmpy2 python-mysqldb python-zope.interface libmysqld-dev libmysqlclient-dev (這兩個模組是為了解決apt-get 安裝mysql沒有mysql_config檔案問題的)

python沙盒搞起來

easy_install virtualenv

pip install virtualenv

Cowire 下載

apt-get install git

cd /opt(不是敏感的資料夾就行的)

git clone http://github.com/micheloossterhof/cowrie 

建立一個新的沙盒：

cd cowrie-master

virtualenv cowrie-env

啟用它

source cowrie-env/bin/activate

進入了新的沙盒 因為不是純淨的沙盒安裝 所以原來的python環境和pip包都會帶進來

很清楚的兩個指令碼

將master這個上一級資料夾和內容全部都給 cowrie

chown -R cowrie:cowrie /opt/cowrie-master

0x02 搞定配置檔案

cp cowrie.cfg.dist cowrie.cfg

開始各種配置

vi start.sh

vi cowrie.cfg

修改蜜罐對SSH的監聽埠

把資料庫也一起配了

這裡我用的是cowrie管理個別的庫 看少了什麼包 會有提醒的 還是很人性化的

轉發！ 其實蜜罐的措施就是將防火牆從22埠接受到的流量導給60000埠

iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 60000

當然了也不能讓自己上不去啊 改下主機SSH埠

vi /etc/ssh/sshd_config

先啟動看看 切到沙盒環境下的cowrie使用者啟動 ./start.sh

可能會因為缺失包而失敗 具體要看你之前python了 安什麼環境 很easy的

ps -ef | grep cowrie 如下就是成功

麼

我們可以這樣放一個小時 看下 /log/authr.log

cao 被輪了 哈哈

下面簡單配置下資料庫 將這倒入可視性高的表中 先把罐子停了

0x03 安MySQL

apt-get install python-dev mysql mysql-server python-mysqldb 

pip install mysql-python

件庫 並將新建庫許可權最大給於cowrie使用者

CREATE DATABASE cowrie;

GRANT ALL ON cowrie.* TO [email protected] IDENTIFIED BY 'cowrie';//所有增刪改查許可權都賦予cowrie

將cowrie的資料來源作為建表語句

SOURCE /opt/cowrie-master/doc/sql/mysql.sql;

重啟罐子見表

0x04 到此OK了

我們來看看一些比較好玩的 

你以為只能配SSH嗎

給你的SSH配一個喜歡的標語吧

其實HTTP 和 HTTPS都可以搞搞

看看日誌在哪

這是所有的口令 攻擊者輕易破掉

其實命令就是些檔案拉

這幫黑客 把檔案都傳上了

不喜歡這個banner？ 隨便改改

到此差不多了 有問題的再聯絡我

就是喜歡半夜寫東西的感覺