Wowhonyepot のログを StackDriver Logging から GCS に保存する
kawa.xxx
kawalog
ニホンモモンガさんの書籍を参考に久しぶりにハニーポットを久しぶりに構築してみました。インスタンス等は書籍にある通り Google Cloud Platform を使ってUbuntu 16.04 LTS でセットアップしました。
よく使う cowrie の起動と停止のコマンド
$ sudo su - cowrie $ bin/cowrie start $ bin/cowrie stop
ログインに成功し、何らかのコマンドが発行された場合に生成されるんですかね。
bin/playlog
コマンドに tty ディレクトリ以下にあるファイルを指定すると、どのような流れでコマンドが発行されたかを確認することが出来ます。
$ bin/playlog log/tty/xxxxx.log
cowrie-logviewer は検索等は出来ないけど、どこの国からアクセスされたかなどを閲覧しやすくしてくれるツールです。
ログファイルが少ないときは問題ないですが、1週間程度動かし続けてログが溜まった状態でこの Viewer を使おうとすると書籍のインスタンスタイプでは CPU が100%に張り付くので要注意です。溜まったログを見る場合は、ちゃんとローカルに落としてきてからやりましょー。
$ python cowrie-logviewer.py $ ssh <ip> -p <sshのポート> -N -L8080:127.0.0.1:5000
まだ植えてから数時間しか経っていないにもかかわらず、もうすでに5つも tty 配下にログが出来てます。
ほんとすごいな。見方を変えれば、弱い設定でSSHなどをインターネットへ公開すればすぐに入られてしまうということです。公開サーバを運用している人は注意が必要ですね。