Cowrie蜜罐部署实践

最新推荐文章于 2024-08-04 16:13:51 发布
原创 最新推荐文章于 2024-08-04 16:13:51 发布 · 4.1k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#蜜罐

#1.Cowrie简介
它是一个具有中等交互的SSH蜜罐,安装在Linux中,它可以获取攻击者用于暴力破解的字典、输入的命令以及上传或下载的恶意文件。攻击者在上传恶意文件后,执行恶意文件的操作均会失败,所以对蜜罐本身来说比较安全。
cowrie蜜罐架构
#2.Cowrie安装

以下均为root权限执行

  • 添加非root用户
useradd -r -m -s /bin/bash honey
  • 设置密码
passwd honey
  • 安装各种python相关包
apt-get install -y python-twisted python-crypto python-pyasn1 python-gmpy2 python-mysqldb python-zope.interface
  • 安装virtualenv
apt-get install virtualenv
  • 下载cowire
$ cd /opt
$ git clone http://github.com/micheloosterhof/cowrie
  • 配置python虚拟环境
$ cd /opt/cowrie
$ virtualenv env
$ source env/bin/activate
$ pip install twisted cryptography pyopenssl gmpy2
  • 此处报错,需安装相应依赖
$ apt-get install -y python-cffi libffi-dev libssl-dev
$ apt-get install -y libgmp-dev libmpfr-dev libmpc-dev
  • 依赖安装完毕,重新运行上一步命令即可完成python虚拟环境配置
  • 改变/opt/cowrie的拥有者
chown -R honey:honey /opt/cowrie
  • 建立 cowrie配置文件
cp cowrie.cfg.dist cowrie.cfg
  • 修改日志的umask为0022(默认为0077)
$ cd /opt/cowrie
$ vim start.sh
# change "-- umask 0077" into "-- umask 0022"
  • 修改蜜罐的SSH端口(默认为2222)
$ cd /opt/cowrie
$ vim cowrie.cfg
# change the value of listen_port as follows: listen_port = 63333 (higher than 60000 is better to avoid the port-scan of namp by default)
  • 将公网访问服务器22端口的请求做端口转发,转发到蜜罐的端口中
iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 63333
  • 将真正的(非蜜罐)SSH端口改为65432
$ vim /etc/ssh/sshd_config
$ service ssh restart

此处切换为honey用户操作

$ su honey
  • 启动蜜罐
$ cd /opt/cowrie 
$ ./start.sh
  • 此处报错,缺乏部分依赖
pip install configparser service_identity pycrypto tftpy

#3.Cowrie配置
data/userdb.txt——设置外部连接蜜罐时的密码,可以设置稍微复杂但是在攻击字典里,诱使攻击者进行暴力破解并获取其行为。
这里写图片描述
log/cowrie.json与 log/cowrie.log——均为日志
这里写图片描述
txtcmds/——均为假的命令,其实打开就会发现完全就是txt
这里写图片描述
dl/——攻击者上传的文件均会复制到这里
这里写图片描述
honeyfs/etc/motd——自定义欢迎/警告banner
这里写图片描述

Cowrie蜜罐部署(Ubuntu)
afei001
06-24 769
一、Cowrie简介     Cowrie是一个具有中等交互的SSH蜜罐,安装在Linux中,它可以获取攻击者用于暴力破解的字典、输入的命令以及上传或下载的恶意文件。攻击者在上传恶意文件后,执行恶意文件的操作均会失败,所以对蜜罐本身来说比较安全。           二、Cowrie蜜罐部署 1.创建一个普通账户 root@server:~# useradd -r -m -s /bin/bash cowrie root@server:~# passwd cowrie Enter new UNIX pa.
35、Linux 上的蜜罐服务:原理、部署实践
最新发布
a3b4c5的博客
07-25 74
本文介绍了蜜罐服务的基本原理、部署方式以及在网络安全中的实际应用。通过蜜罐,可以有效检测内部和外部的攻击行为,并获取高保真的攻击数据,为安全研究和防御提供支持。文章还详细讲解了在 Linux 系统中部署不同类型蜜罐的方法,包括使用 iptables、netcat 和 Portspoof 等工具,并探讨了蜜罐的风险控制策略及其与其他安全设备的集成应用。
三种蜜罐的搭建与使用方法
12-19
本文主要讲述了使用三种方法:Defnet、Pentbox、Cowrie(后两种方法在kali上面完成),来搭建和使用蜜罐
HFish蜜罐部署教程(windows版)—HW蓝队主动防御利器,最新金九银十网络安全面试合集
2401_84166376的博客
04-09 1197
一年一度的HW马上又要来了,【不过听说今年推迟了一些】,各位师傅应该都按耐不住了,今天尝试一下比较出圈的HFish蜜罐系统的部署,浅浅的记录一下。
Linux搭建hfish蜜罐
weixin_67813445的博客
03-25 823
HFish由管理端和节点端组成,管理端用来生成和管理节点端,并接收、分析和展示节点端回传的数据,节点端接受管理端的控制并负责构建蜜罐服务。
Linux下实现蜜罐系统
weixin_46544151的博客
04-18 6836
一、实验目的和要求 1.局域网内联网的两台主机 2.其中一台为Linux操作系统主机用作安装“蜜罐” 3.另一台主机,对蜜罐进行扫描,可用扫描软件 二、实验环境 服务器:unbuntu20.04(192.168.159.129) 蜜罐:HFish 攻击机:kali2019(192.168.159.128) 数据库:mysql5 三、实验原理 3.1 蜜罐技术概述 蜜罐是一种软件应用系统,用来称当入侵诱饵,引诱黑客前来攻击。蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵
HFish蜜罐部署教程(windows版)—HW蓝队主动防御利器
monster663的博客
06-06 6542
一年一度的HW马上又要来了,【不过听说今年推迟了一些】,各位师傅应该都按耐不住了,今天尝试一下比较出圈的HFish蜜罐系统的部署,浅浅的记录一下。
蜜罐Kippo的部署
看着博客敲代码
05-17 3218
一、kippo简介 当hk通过非法入侵获取到一服务器的权限后,很可能会在同网段进行大范围的端口探测,便于横向扩展获取更多服务器的控制权,因此 部署内网ssh蜜罐 把攻击者引诱到蜜罐中,触发实时告警,并知道哪台服务器已被控制,攻击者在蜜罐上做了哪些操作,通过将蜜罐服务器与生产服务器混合部署在网络中,可以实现对入侵行为的捕获。kippo是一个中等交互的ssh蜜罐,它可以记录hk执行的全部shell交互。(大部分公司采用商业版入侵防护,文章就研究学习一下就行啦 内容只有安装部署和使用方法 告警放到后面文章) 二、
Cowrie蜜罐日志分析工具:cowrie-logviewer简介与功能
Cowrie-logviewer是一个基于Python开发的日志查看工具,它旨在提供对Cowrie蜜罐(一种网络蜜罐,模拟具有Telnet服务的BBS或SSH服务器)日志的简易查看功能。这个日志查看器的主要特点如下: 1. **日志文件的管理**...
网络工程中的蜜罐技术:蜜罐的配置及全方位攻击检测与溯源分析
2401_84428002的博客
08-04 1029
蜜罐是一种安全资源,其设计目的是吸引攻击者,以便研究攻击者的技术和行为。蜜罐可以是模拟的操作系统、应用程序或网络服务,它们看起来像是真实的系统,但实际上是受监控的陷阱。蜜罐技术在网络工程中的应用,不仅能够帮助我们检测和响应攻击,还能够提供深入的攻击分析和溯源能力,从而提高组织的整体安全防护水平。通过合理部署和有效利用蜜罐,我们可以在网络安全这场永无止境的战斗中占据有利地位。通过本文的详细介绍,我们可以看到蜜罐技术在网络工程中的多方面价值。
深入了解蜜罐:类型、部署与操作指南
### 深入了解蜜罐:类型、部署与操作指南 #### 1. 从系统日志获取端口欺骗信息 可以从系统日志(syslog)中提取端口欺骗(portspoof)条目。虽然信息相同,但时间戳以 ASCII 格式呈现,而非“自纪元开始的秒数”。...
打造个人蜜罐系统:Python网络安全实践的终极指南
[打造个人蜜罐系统:Python网络安全实践的终极指南](https://img-blog.csdnimg.cn/4eac4f0588334db2bfd8d056df8c263a.png) # 1. 蜜罐系统的概念与作用 ## 简介 蜜罐系统,一个常用于网络安全领域的术语,本质上是...
【Python网络安全高级话题】:蜜罐技术与深度防御实践案例
!...# 1. Python网络安全概述 网络安全作为信息技术领域中至关重要的一环,对于保护数据安全、维护个人隐私和企业资产发挥着不可或缺的作用。Python作为一种广泛使用的编程语言,在网络安全领域中的应用愈发频繁。...
护网蓝队-蜜罐的搭建及使用
mashiro_hibiki的博客
04-12 3216
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
蜜罐HFish2.5部署与使用
weixin_39664643的博客
08-11 3027
蜜罐HFish2.5部署 安全可靠:主打低中交互蜜罐,简单有效; 蜜罐丰富:支持SSH、FTP、TFTP、MySQL、Redis、Telnet、VNC、Memcache、Elasticsearch、Wordpress、OA系统等10多种蜜罐服务,支持用户制作自定义Web蜜罐; 开放透明:支持对接微步在线X社区API、五路syslog输出、支持邮件、钉钉、企业微信、飞书、自定义WebHook告警输出; 快捷管理:支持单个安装包批量部署支持批量修改端口和服务; 跨平台:支持Linux x32/x64/ARM
蜜罐部署解析
m0_62207482的博客
05-01 889
将节点部署在互联网区,用来感知互联网来自自动化蠕虫、竞争对手和境外的 真实威胁,甚至发现针对客户的 0day攻击,通过和具有情报生产能力的 情报平台 对接,可以稳定准确的生产私有威胁情报。蜜罐部署在企业内部服务器区,用于 感知内网失陷和横向移动,常见模板可以设置文模拟Web、MySQL、Redis、Elasticsearch、SSH、Telnet等服务。是企业环境 最常见 的使用方法,用来捕捉内网已经失陷、勒索软件和恶意行为,重点在于 敏捷准确,具体可细分为 内部办公场景 和 内部IDC场景,
蜜罐部署
wj193165zl的博客
08-03 3076
什么是蜜罐蜜罐技术本质上时一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机。 cowrie是什么:它是一款中度交互的SSH与Telnet蜜罐,它可以获取攻击者用于暴力破解的字典,输入的命令以及上传或下载的恶意问题。 搭建cowrie useradd cowrie passwd cowrie yum install -y git python-virtualenv bzip2-de...
企业部署T-Pot(20.06)蜜罐系统并使用
考拉研究僧的博客
11-06 6508
Debian10搭建T-Pot蜜罐系统(脚本) 一、安装Debian10 虚拟机 1. 版本说明 目前最新版t-pot项目基于Debian10构建,本文采用Debian 10 作为实验环境 2. 下载 清华大学下载源:https://mirrors.tuna.tsinghua.edu.cn/# 3. 安装 环境说明 虚拟机软件:VMware Workstation Pro 15.5 镜像:debian-live-10.6.0-amd64-standard.iso 虚拟机安装(略) 配置要求:参考T-
Ubuntu安装cowrie蜜罐
02-26
### 安装和配置 Cowrie 蜜罐于 Ubuntu #### 准备工作 为了确保顺利安装并运行Cowrie蜜罐,在Ubuntu环境中需先更新系统软件包列表,并安装必要的依赖项。 ```bash sudo apt update && sudo apt upgrade -y ``` #### 安装必备组件 对于Python开发环境以及其他工具的支持,执行以下命令来安装所需的基础库: ```bash sudo apt install python3-pip git build-essential libffi-dev libssl-dev python3-dev python3-setuptools python3-virtualenv -y ``` #### 获取Cowrie源码 通过Git克隆官方仓库获取最新版本的Cowrie代码至本地机器: ```bash git clone https://github.com/cowrie/cowrie.git ~/cowrie cd ~/cowrie/ ``` #### 创建虚拟环境 建议创建独立的Python虚拟环境用于隔离项目依赖关系: ```bash virtualenv --python=python3 venv source venv/bin/activate ``` #### 安装Python依赖 激活虚拟环境后,利用Pip工具安装`requirements.txt`文件里指定的所有Python库: ```bash pip install --upgrade pip setuptools wheel pip install -r requirements.txt ``` #### 配置Cowrie服务 编辑位于`~/cowrie/etc/`目录下的`cowrie.cfg.dist`文件完成初步设置;如果打算长期稳定运行,则可复制此模板作为正式配置文件使用: ```bash cp etc/cowrie.cfg.dist etc/cowrie.cfg nano etc/cowrie.cfg ``` 在此过程中可根据实际需求调整监听端口、日志记录方式等参数。保存更改退出编辑器之后继续下一步骤。 #### 启动Cowrie服务 返回到项目的根目录下并通过Twistd启动守护进程模式的服务实例: ```bash twistd -n -l log/cowrie.log -u nobody cowrie ``` 此时应该可以看到终端输出有关服务器状态的信息提示符,表示Cowrie已经开始正常运作了。 #### 设置开机自启(可选) 为了让Cowrie能够在每次重启操作系统时自动加载,可以将其注册成SystemD服务单元管理对象之一。具体操作如下所示: 1. 编辑一个新的Unit文件 `/etc/systemd/system/cowrie.service`: ```ini [Unit] Description=Cowrie SSH/Telnet Honeypot [Service] ExecStart=/home/user/cowrie/twistd -n -l /var/log/cowrie/cowrie.log -u nobody cowrie WorkingDirectory=/home/user/cowrie User=root Group=root Restart=always [Install] WantedBy=multi-user.target ``` 2. 刷新Daemon缓存并将该服务设为默认开启状态: ```bash systemctl daemon-reload systemctl enable cowrie.service ``` 现在即使重新引导主机也不必担心Cowrie会停止工作了!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值