ノリで借りてしまいました。さくらインターネットの現時点で一番安いVPS。512MBメモリ20GBSSDの構成で700円程のやつです。
とりあえずハニーポットを触ってみたかったので、設定してみることに。
ハニーポットを選ぶ
「低対話型サーバ側ハニーポット」として、ssh特化のハニーポットソフトウェア「Cowrie」を選択しました。 始めは「Dionaea」を検討していたのですが、リンク切れを起こしていたのでちょっと保留(forkはあった)。サーバー準備
勢いで借りたサーバーの起動準備ができたらスタート。CentOS7が乗っていたので、そのままCentOSで行くことに。rootログイン、sshd_configでのrootログイン禁止、adduserでの別ユーザー生成くらいをやってから、CowrieのINSTALL.mdを参考に作業開始。
説明だとapt-getなのですが、CentOSだとapt-getが無いのでyumで。libssl-devが無いので調べるとopenssl-develが代用できそうなので、そちらをインストール。
また、Cowrie専用のユーザが必要ということで、そちらも用意。
virtualenvは色々設定した後にdesactivateで抜けます。
設定ファイルcowrie.cgfは、ポート番号の設定くらいで。
転送先のポートなどの設定が決まったら、firewall-cmdを利用してファイアウォールでポート転送の設定を。
このタイミングで何回か自分の環境からssh接続で応答なしが出ましたが、Cowrieを起動していないのにポート転送の設定を適用してしまっていたとか、そういう情けないミスが原因でした。
ダミーユーザについてはそのままに(後からログ見るとユーザ名adminが多かったのでそれも追加してもいいかもしれない)
ポート設定後は、~/cowrie/bin/cowrie startで起動。エラーが出ましたがメッセージを確認すると、いくつかパッケージ導入を失敗していたことが原因だったのですぐに解決。
起動後は、確認の為にログイン。偽のログイン先にあるディレクトリが「Richard」で面白味に掛けたので、~/cowrie/data/fs.pickleを調べると偽ディレクトリの設定があったので、適当なものに変更。
ログを見る
ログは~/cowrie/log/cowrie.logです。設置してからすぐにユーザ名rootでアクセスがあり、入るなり「/gweerwe323f」というものを打ってきました。感染済みかどうかを調べているのでしょうか。
あの手この手で/gweerwe323fを探した後は、\x47\x72\x6f\70(Grop)という指定で色々書いたり消したりしているみたいです。
他には、ユーザ名adminで何回が接続しに来ていました。adminの方が数が多そうに見えるので、こちらも開放して何をするのか見てみるつもりです。
0 件のコメント:
コメントを投稿