在Honeypot #13 手動安裝 Cowrie 的補充說明有提供一些指令與設定檔,這一篇就再灌水整理比較完整的資料
這裡會假設按照 Cowrie 官方的安裝步驟,因此系統會有 cowrie 使用者,以及預設的安裝路徑為 /home/cowrie/cowrie
執行指令時請記得使用非 root 權限的帳號。如照官方安裝時,請先執行 「sudo su -u cowrie」, 切換至 cowrie 後再使用以下指令」。
啟動 cowrie
/home/cowrie/cowrie/bin/cowrie start
停止 cowrie
/home/cowrie/bin/cowrie stop
重啟 cowrie
/home/cowrie/cowrie/bin/cowrie restart
啟動 Cowrie 時預設會依序讀取以下的檔案
/home/cowrie/cowrie/etc/cowrie.cfg.dist
/home/cowrie/cowrie/etc/cowrie.cfg
cowrie.cfg.dist 是安裝時即內建的設定檔,一般不會修改它,而是會新建一個 cowrie.cfg ,將所有的新增變動放在此處。例如要啟動 telnet 時,會在 cowrie.cfg 新增
[telnet]
enable = true
cowrie.cfg.dist 也包含了比較完整的支援,如想看 output 還支援哪些,可以拉到最下方的 Output Plugins 區域查看。
設定 Cowrie 假 SSH、telnet 可使用的帳號密碼。
/home/cowrie/cowrie/etc/userdb.example
/home/cowrie/cowrie/etc/userdb.txt
與 cowrie.cfg 不同,
userdb.example 只有在 userdb.txt 不存在時才會讀取。userdb.example 沒有實際作用。必須另外複製成 userdb.txt ,裡面的設定才會生效。
按照預設的規則,root 帳號可以隨便輸入密碼就進入了。如果要自行建立,可以將此userdb.example 複製成 userdb.txt 再修改。
一般 log: 簡易型的文字記錄檔案。
/home/cowrie/cowrie/var/log/cowrie/cowrie.log
T-Pot 上的 Cowrie 似乎沒有轉出這個類型的 log
完整 log: 資訊完整的 JSON 格式。
/home/cowrie/cowrie/var/log/cowrie/cowrie.json
系統的假指令: 可以看到都是將文件檔假造為指令而已
/home/cowrie/cowrie/share/cowrie/txtcmds/
登入前的假訊息
/home/cowrie/cowrie/honeyfs/etc/issue
登入後的提示訊息
/home/cowrie/cowrie/honeyfs/etc/motd
假檔案
/home/cowrie/cowrie/honeyfs/
在其他需求下,視情況需要配合 /home/cowrie/cowrie/bin/fsctl 程式以及 /home/cowrie/cowrie/share/cowrie/fs.pickle 假檔案系統結構,參考Cowrie 官方 FAQ。
攻擊者下載的檔案位置會放在這裡
/home/cowrie/cowrie/var/lib/cowrie/downloads/