Cowrie
是一種中等交互的SSH和Telnet蜜罐,旨在記錄暴力攻擊和攻擊者執行的shell交互。
Cowrie還充當SSH和telnet代理,以觀察攻擊者對另一個系統的行為。
同時也是一個模擬的 SSH 伺服器。很多攻擊者都是 SSH 登錄,你可以把這個軟體在22埠啟動,真正的 SSH 伺服器放在另一個埠。
當別人以為攻入了伺服器,其實進入的是一個虛擬系統,然後會把他們的行為全部記錄下來。
特徵
- 選擇以仿真外殼運行(默認):
- 具有添加/刪除文件功能的偽造文件系統。包含類似於Debian 5.0安裝的完整偽造文件系統
- 可能添加偽造的文件內容,以便攻擊者可以監視/ etc / passwd等文件。僅包含最少的文件內容
- Cowrie保存使用wget / curl下載的文件或通過SFTP和scp上傳的文件,以供以後檢查
- 或將SSH和telnet代理到另一個系統
對於這兩種設置:
- 會話日誌以UML兼容 格式存儲,以便使用bin / playlog實用程序輕鬆重播。
- SFTP和SCP支持文件上傳
- 支持SSH exec命令
- 記錄直接TCP連接嘗試(SSH代理)
- 將SMTP連接轉發到SMTP Honeypot(例如mailoney)
- JSON日誌記錄,便於在日誌管理解決方案中進行處理
Docker
要快速入門並嘗試一下Cowrie,請運行:
docker run -p 2222:2222 cowrie/cowrie
ssh -p 2222 root@localhost
要求
所需軟體:
- Python 3.5+(目前支持Python 2.7,但我們建議升級)
- python-virtualenv
有關Python依賴關係,請參見requirements.txt。
文件目錄及解釋:
- etc / cowrie.cfg-Cowrie的配置文件。預設值可以在etc / cowrie.cfg.dist中找到。
- share / cowrie / fs.pickle-偽造的文件系統
- etc / userdb.txt-訪問蜜罐的憑據
- honeyfs / -偽造文件系統的文件內容-隨時在此處複製實際系統或使用bin / fsctl
- honeyfs / etc / issue.net-登錄前橫幅
- honeyfs / etc / motd-登錄後橫幅
- var / log / cowrie / cowrie.json-JSON格式的交易輸出
- var / log / cowrie / cowrie.log-日誌/調試輸出
- var / lib / cowrie / tty /-會話日誌,可使用bin / playlog實用程序重播。
- var / lib / cowrie / downloads /-從攻擊者傳輸到蜜罐的文件存儲在此處
- share / cowrie / txtcmds / -簡單偽造命令的文件內容
- bin / createfs-用於創建偽造的文件系統
- bin / playlog-重放會話日誌的實用程序
更多使用方法可以查看官方文檔
開源地址:
https://github.com/cowrie/cowrie
更多更優質的資訊,請關注我,你的支持會鼓勵我不斷分享更多更好的優質文章。