***檢測-蜜罐

蜜罐

蜜罐是什麼
蜜罐技術本質上是一種對***方進行欺騙的技術，經過佈置一些做爲誘餌的主機、網絡服務或者信息，誘使***方對它們實施***，從而能夠對***行爲進行捕獲和分析，瞭解***方所使用的工具與方法，推測***意圖和動機，可以讓防護方清晰地瞭解他們所面對的安全威脅，並經過技術和管理手段來加強實際系統的安全防禦能力。
蜜罐比如是情報收集系統。蜜罐好像是故意讓人***的目標，引誘***前來***。因此***者***後，你就能夠知道他是如何得逞的，隨時瞭解針對服務器發動的最新的***和漏洞。還能夠經過竊聽***之間的聯繫，收集***所用的種種工具，而且掌握他們的社交網絡。

蜜罐技術本質上是一種對***方進行欺騙的技術，經過佈置一些做爲誘餌的主機。

cowrie 被動方式

什麼是cowrie

Cowrie是一款中度交互的SSH與Telnet蜜罐，它能夠獲取***者用於暴力破解的字典、輸入的命令以及上傳或下載的惡意文件。

特性：

1. 假裝的文件系統可增長/移除文件；完整的文件系統搭配有Debian 5.0；
2. 可增長文件內容，***者就能用cat命令查看如/etc/passwd等文件；系統中進包含最少的文件內容；
3. 會話日誌記錄在UML兼容格式中，便於重演；
4. Cowrie保存文件，下載用wget/curl，或者爲後續檢查——上傳採用SFTP和scp；

安裝運行cowrie

useradd cowrie
passwd cowrie
yum install -y git python-virtualenv bzip2-devel libffi-devel vim net-tools mysql-devel
yum groupinstall "Development Tools"
git clone https://github.com/cowrie/cowrie.git

建立虛擬環境
複製代碼

virtualenv -p python2.7 cowrie-env
source cowrie-env/bin/activate

#Python虛擬環境執行
pip install six packaging appdirs
pip install -r requirements.txt

cp cowrie.cfg.dist cowrie.cfg
chown -R cowrie /opt/cowrie/

複製代碼

端口環境配置
複製代碼

vim /etc/ssh/sshd_config
...
#Port 22爲Port 321

vim cowrie.cfg #文件修改
...
listen_port = 2222

複製代碼

配置防火牆

firewall-cmd --permanent --add-port=321/tcp
firewall-cmd --zone=public --add-masquerade --permanent
firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=2222 --permanent
firewall-cmd --permanent --list-all
firewall-cmd --reload
systemctl restart sshd

配置Mysql數據庫

wget https://dev.mysql.com/get/mysql57-community-release-el7-11.noarch.rpm
yum localinstall mysql57-community-release-el7-11.noarch.rpm
yum install mysql-community-server
systemctl start mysqld
systemctl enable mysqld
systemctl daemon-reload

Python mysql包

. cowrie-env/bin/activate
pip install mysql-python

導入/opt/cowrie/docs/sql/mysql.sql

修改配置文件
複製代碼

[output_mysql]
enabled = true
host = localhost
database = cowrie
username = cowrie
password = 123456
port = 3306

複製代碼

Kali 測試***

hydra -l root -P ./password.txt -f ssh://IP

蜜罐 elastichoney

配置go環境

https://golang.google.cn/dl/

環境變量:
複製代碼

vim ~/.bashrc
...
export GOROOT=/usr/local/go
export GOPATH=/opt/goblog
export PATH=$PATH:$GOPATH:/usr/local/go/bin

source /etc/profile

複製代碼

下載環境

go get github.com/fw42/go-hpfeeds
git clone https://github.com/jordan-wright/elastichoney.git

在編譯前須要修改配置：

https://ifconfig.co/ip

運行

go get github.com/fw42/go-hpfeeds
git clone https://github.com/jordan-wright/elastichoney.git

在編譯前須要修改配置：

https://ifconfig.co/ip

下載環境

go build -o elastichoney./elastichoney -config="config.json" -log="logs/elastichoney.log" -verbose=true