Honeypot #12 T-Pot 上的 Cowrie 的相關檔案

2022 iThome 鐵人賽

DAY 19

Security

HONEYPOT×TRICK 100%不純保證系列第 19 篇

14th鐵人賽

魯大常

2022-10-04 10:51:59

672 瀏覽

分享至

where is my precious (cowrie=寶「貝」)，冷~~

Cowrie 在上一篇的使用上，已經很明顯的表示在 T-Pot 平台上非常易用，一裝好 T-Pot ，也就設定好 Cowrie 了，而且連帶分析的圖表已做處理。不過中老年人還是有想看一下包裝底下的樣子對吧?這篇我們就稍微來看一下 T-Pot 底下的 Cowrie 的相關檔案。

Cowrie 在 github 上的說明有 docker 的安裝方式，較完整的文件中才有指出一般手動的安裝步驟。從其內容中找到關鍵的設定檔「cowrie.cfg」，放在 github 搜尋會發現 T-Pot 是以 docker 的方式安裝 Cowrie。而 docker 是以類似虛擬機的方式在執行．因此在 T-Pot 主機上是找不到「cowrie.cfg 這個檔的。

所幸的是 Cowrie 的記錄檔，是以對應的方式在T-Pot 主機上呈現。使用關鍵字「cowrie.json」就可以在 github 上發現路徑。

之後再去搜索 T-Pot 主機上的位置

[tsec@dependentmini:~]$ sudo ls -la /data/cowrie/log/
total 16
drwxrwx--- 3 tpot tpot 4096 Oct  3 22:16 .
drwxrwx--- 6 tpot tpot 4096 Oct  3 22:16 ..
-rw-rw-r-- 1 tpot tpot    0 Oct  3 03:49 cowrie.json
-rwxrwx--- 1 tpot tpot 1133 Oct  3 03:35 cowrie.json.1.gz
-rwxrwx--- 1 tpot tpot    0 Sep 22 01:34 cowrie.json.2022-09-22
drwxrwx--- 2 tpot tpot 4096 Oct  3 22:16 tty

可以發現 cowrie.json 目前為空白，但之前的記錄其實已被壓縮在檔案「cowrie.json.1.gz」中，在此先解壓縮

gzip -d /data/cowrie/log/cowrie.json.1.gz

再使用文字編輯器就可以看到與 T-Pot 儀表表上的數據來源...當然難看很多

nano  /data/cowrie/log/cowrie.json.1

下一篇回到 cowrie 的手動安裝模式來試試看吧。

Honeypot #11 T-Pot 上的 Cowrie

Honeypot #13 手動安裝 Cowrie

系列文

HONEYPOT×TRICK 100%不純保證共 33 篇

RSS系列文訂閱系列文

8 人訂閱

完整目錄

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

尚未有邦友留言

立即登入留言

15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css react 程式設計 vue.js

IT邦幫忙

HONEYPOT×TRICK 100%不純保證系列 第 19 篇