***检测-蜜罐
蜜罐
蜜罐是什么
蜜罐技术本质上是一种对***方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使***方对它们实施***,从而可以对***行为进行捕获和分析,了解***方所使用的工具与方法,推测***意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
蜜罐好比是情报收集系统。蜜罐好像是故意让人***的目标,引诱***前来***。所以***者***后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的***和漏洞。还可以通过窃听***之间的联系,收集***所用的种种工具,并且掌握他们的社交网络。
蜜罐技术本质上是一种对***方进行欺骗的技术,通过布置一些作为诱饵的主机。
cowrie 被动方式
什么是cowrie
Cowrie是一款中度交互的SSH与Telnet蜜罐,它可以获取***者用于暴力破解的字典、输入的命令以及上传或下载的恶意文件。
特性:
- 伪装的文件系统可增加/移除文件;完整的文件系统搭配有Debian 5.0;
- 可增加文件内容,***者就能用cat命令查看如/etc/passwd等文件;系统中进包含最少的文件内容;
- 会话日志记录在UML兼容格式中,便于重演;
- Cowrie保存文件,下载用wget/curl,或者为后续检查——上传采用SFTP和scp;
安装运行cowrie
useradd cowrie
passwd cowrie
yum install -y git python-virtualenv bzip2-devel libffi-devel vim net-tools mysql-devel
yum groupinstall "Development Tools"
git clone https://github.com/cowrie/cowrie.git
创建虚拟环境
复制代码
virtualenv -p python2.7 cowrie-env
source cowrie-env/bin/activate
#Python虚拟环境执行
pip install six packaging appdirs
pip install -r requirements.txt
cp cowrie.cfg.dist cowrie.cfg
chown -R cowrie /opt/cowrie/
复制代码
端口环境配置
复制代码
vim /etc/ssh/sshd_config
...
#Port 22为Port 321
vim cowrie.cfg #文件修改
...
listen_port = 2222
复制代码
配置防火墙
firewall-cmd --permanent --add-port=321/tcp
firewall-cmd --zone=public --add-masquerade --permanent
firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=2222 --permanent
firewall-cmd --permanent --list-all
firewall-cmd --reload
systemctl restart sshd
配置Mysql数据库
wget https://dev.mysql.com/get/mysql57-community-release-el7-11.noarch.rpm
yum localinstall mysql57-community-release-el7-11.noarch.rpm
yum install mysql-community-server
systemctl start mysqld
systemctl enable mysqld
systemctl daemon-reload
Python mysql包
. cowrie-env/bin/activate
pip install mysql-python
导入/opt/cowrie/docs/sql/mysql.sql
修改配置文件
复制代码
[output_mysql]
enabled = true
host = localhost
database = cowrie
username = cowrie
password = 123456
port = 3306
复制代码
Kali 测试***
hydra -l root -P ./password.txt -f ssh://IP
蜜罐 elastichoney
配置go环境
https://golang.google.cn/dl/
环境变量:
复制代码
vim ~/.bashrc
...
export GOROOT=/usr/local/go
export GOPATH=/opt/goblog
export PATH=$PATH:$GOPATH:/usr/local/go/bin
source /etc/profile
复制代码
下载环境
go get github.com/fw42/go-hpfeeds
git clone https://github.com/jordan-wright/elastichoney.git
在编译前需要修改配置:
https://ifconfig.co/ip
运行
go get github.com/fw42/go-hpfeeds
git clone https://github.com/jordan-wright/elastichoney.git
在编译前需要修改配置:
https://ifconfig.co/ip
下载环境
go build -o elastichoney
./elastichoney -config="config.json" -log="logs/elastichoney.log" -verbose=true