iT邦幫忙

2022 iThome 鐵人賽

DAY 19
0
Security

HONEYPOT×TRICK 100%不純保證系列 第 19

Honeypot #12 T-Pot 上的 Cowrie 的相關檔案

  • 分享至 

  • xImage
  •  

where is my precious (cowrie=寶「貝」),冷~~
https://ithelp.ithome.com.tw/upload/images/20221004/20103688pDh9JFTBdJ.jpg


Cowrie 在上一篇的使用上,已經很明顯的表示在 T-Pot 平台上非常易用,一裝好 T-Pot ,也就設定好 Cowrie 了,而且連帶分析的圖表已做處理。不過中老年人還是有想看一下包裝底下的樣子對吧?這篇我們就稍微來看一下 T-Pot 底下的 Cowrie 的相關檔案。

Cowrie 在 github 上的說明有 docker 的安裝方式,較完整的文件中才有指出一般手動的安裝步驟。從其內容中找到關鍵的設定檔「cowrie.cfg」,放在 github 搜尋會發現 T-Pot 是以 docker 的方式安裝 Cowrie。而 docker 是以類似虛擬機的方式在執行.因此在 T-Pot 主機上是找不到「cowrie.cfg 這個檔的。
https://ithelp.ithome.com.tw/upload/images/20221004/20103688Hv1DJoJAb5.jpg

所幸的是 Cowrie 的記錄檔,是以對應的方式在T-Pot 主機上呈現。使用關鍵字「cowrie.json」就可以在 github 上發現路徑。
https://ithelp.ithome.com.tw/upload/images/20221004/20103688RQJVm7MDE2.jpg
之後再去搜索 T-Pot 主機上的位置

[tsec@dependentmini:~]$ sudo ls -la /data/cowrie/log/
total 16
drwxrwx--- 3 tpot tpot 4096 Oct  3 22:16 .
drwxrwx--- 6 tpot tpot 4096 Oct  3 22:16 ..
-rw-rw-r-- 1 tpot tpot    0 Oct  3 03:49 cowrie.json
-rwxrwx--- 1 tpot tpot 1133 Oct  3 03:35 cowrie.json.1.gz
-rwxrwx--- 1 tpot tpot    0 Sep 22 01:34 cowrie.json.2022-09-22
drwxrwx--- 2 tpot tpot 4096 Oct  3 22:16 tty

可以發現 cowrie.json 目前為空白,但之前的記錄其實已被壓縮在檔案「cowrie.json.1.gz」中,在此先解壓縮

gzip -d /data/cowrie/log/cowrie.json.1.gz

再使用文字編輯器就可以看到與 T-Pot 儀表表上的數據來源...當然難看很多

nano  /data/cowrie/log/cowrie.json.1

https://ithelp.ithome.com.tw/upload/images/20221004/20103688ccMJ3Y0PEg.jpg

下一篇回到 cowrie 的手動安裝模式來試試看吧。


上一篇
Honeypot #11 T-Pot 上的 Cowrie
下一篇
Honeypot #13 手動安裝 Cowrie
系列文
HONEYPOT×TRICK 100%不純保證33
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言