Cowrie
是一种中等交互的SSH和Telnet蜜罐,旨在记录暴力攻击和攻击者执行的shell交互。
Cowrie还充当SSH和telnet代理,以观察攻击者对另一个系统的行为。
同时也是一个模拟的 SSH 服务器。很多攻击者都是 SSH 登录,你可以把这个软件在22端口启动,真正的 SSH 服务器放在另一个端口。
当别人以为攻入了服务器,其实进入的是一个虚拟系统,然后会把他们的行为全部记录下来。
特征
- 选择以仿真外壳运行(默认):
- 具有添加/删除文件功能的伪造文件系统。包含类似于Debian 5.0安装的完整伪造文件系统
- 可能添加伪造的文件内容,以便攻击者可以监视/ etc / passwd等文件。仅包含最少的文件内容
- Cowrie保存使用wget / curl下载的文件或通过SFTP和scp上传的文件,以供以后检查
- 或将SSH和telnet代理到另一个系统
对于这两种设置:
- 会话日志以UML兼容 格式存储,以便使用bin / playlog实用程序轻松重播。
- SFTP和SCP支持文件上传
- 支持SSH exec命令
- 记录直接TCP连接尝试(SSH代理)
- 将SMTP连接转发到SMTP Honeypot(例如mailoney)
- JSON日志记录,便于在日志管理解决方案中进行处理
Docker
要快速入门并尝试一下Cowrie,请运行:
docker run -p 2222:2222 cowrie/cowrie
ssh -p 2222 root@localhost
要求
所需软件:
- Python 3.5+(目前支持Python 2.7,但我们建议升级)
- python-virtualenv
有关Python依赖关系,请参见requirements.txt。
文件目录及解释:
- etc / cowrie.cfg-Cowrie的配置文件。缺省值可以在etc / cowrie.cfg.dist中找到。
- share / cowrie / fs.pickle-伪造的文件系统
- etc / userdb.txt-访问蜜罐的凭据
- honeyfs / -伪造文件系统的文件内容-随时在此处复制实际系统或使用bin / fsctl
- honeyfs / etc / issue.net-登录前横幅
- honeyfs / etc / motd-登录后横幅
- var / log / cowrie / cowrie.json-JSON格式的交易输出
- var / log / cowrie / cowrie.log-日志/调试输出
- var / lib / cowrie / tty /-会话日志,可使用bin / playlog实用程序重播。
- var / lib / cowrie / downloads /-从攻击者传输到蜜罐的文件存储在此处
- share / cowrie / txtcmds / -简单伪造命令的文件内容
- bin / createfs-用于创建伪造的文件系统
- bin / playlog-重放会话日志的实用程序
更多使用方法可以查看官方文档
开源地址:
https://github.com/cowrie/cowrie
更多更优质的资讯,请关注我,你的支持会鼓励我不断分享更多更好的优质文章。