iT邦幫忙

2022 iThome 鐵人賽

DAY 27
0
Security

HONEYPOT×TRICK 100%不純保證系列 第 27

Honeypot #18 Cowrie 指令與配置

  • 分享至 

  • xImage
  •  

Honeypot #13 手動安裝 Cowrie 的補充說明有提供一些指令與設定檔,這一篇就再灌水整理比較完整的資料


這裡會假設按照 Cowrie 官方的安裝步驟,因此系統會有 cowrie 使用者,以及預設的安裝路徑為 /home/cowrie/cowrie

指令

執行指令時請記得使用非 root 權限的帳號。如照官方安裝時,請先執行 「sudo su -u cowrie」, 切換至 cowrie 後再使用以下指令」。

啟動 cowrie

/home/cowrie/cowrie/bin/cowrie start

停止 cowrie

/home/cowrie/bin/cowrie stop

重啟 cowrie

/home/cowrie/cowrie/bin/cowrie restart

設定檔

啟動 Cowrie 時預設會依序讀取以下的檔案

/home/cowrie/cowrie/etc/cowrie.cfg.dist
/home/cowrie/cowrie/etc/cowrie.cfg

cowrie.cfg.dist 是安裝時即內建的設定檔,一般不會修改它,而是會新建一個 cowrie.cfg ,將所有的新增變動放在此處。例如要啟動 telnet 時,會在 cowrie.cfg 新增

[telnet]
enable = true

cowrie.cfg.dist 也包含了比較完整的支援,如想看 output 還支援哪些,可以拉到最下方的 Output Plugins 區域查看。

設定 Cowrie 假 SSH、telnet 可使用的帳號密碼。

/home/cowrie/cowrie/etc/userdb.example
/home/cowrie/cowrie/etc/userdb.txt

與 cowrie.cfg 不同,userdb.example 只有在 userdb.txt 不存在時才會讀取。 userdb.example 沒有實際作用。必須另外複製成 userdb.txt ,裡面的設定才會生效。
按照預設的規則,root 帳號可以隨便輸入密碼就進入了。如果要自行建立,可以將此userdb.example 複製成 userdb.txt 再修改。

Log 日誌

一般 log: 簡易型的文字記錄檔案。

/home/cowrie/cowrie/var/log/cowrie/cowrie.log

T-Pot 上的 Cowrie 似乎沒有轉出這個類型的 log

完整 log: 資訊完整的 JSON 格式。

 /home/cowrie/cowrie/var/log/cowrie/cowrie.json

假資訊

系統的假指令: 可以看到都是將文件檔假造為指令而已

/home/cowrie/cowrie/share/cowrie/txtcmds/

登入前的假訊息

/home/cowrie/cowrie/honeyfs/etc/issue

登入後的提示訊息

/home/cowrie/cowrie/honeyfs/etc/motd

假檔案

/home/cowrie/cowrie/honeyfs/

在其他需求下,視情況需要配合 /home/cowrie/cowrie/bin/fsctl 程式以及 /home/cowrie/cowrie/share/cowrie/fs.pickle 假檔案系統結構,參考Cowrie 官方 FAQ

其他檔案

攻擊者下載的檔案位置會放在這裡

/home/cowrie/cowrie/var/lib/cowrie/downloads/

參考資料

Cowrie 官方 README
Cowrie蜜罐部署實踐

延伸閱讀

Cowrie 官方 FAQ


上一篇
Honeypot #17 將 Cowrie 輸出到 Threat Jammer
下一篇
Honeypot #19 Cowrie - 使用代理(Proxy)模式 - 設置虛擬環境
系列文
HONEYPOT×TRICK 100%不純保證33
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言