GCP に cowrie ハニーポットを構築してみた
kawa.xxx
ニホンモモンガさんの書籍を参考に久しぶりにハニーポットを久しぶりに構築してみました。インスタンス等は書籍にある通り Google Cloud Platform を使ってUbuntu 16.04 LTS でセットアップしました。
よく使う cowrie の起動と停止のコマンド
$ sudo su - cowrie $ bin/cowrie start $ bin/cowrie stop
cowrie のログを見る
cowrie の bin/playlog で侵入者の動きを再現する
ログインに成功し、何らかのコマンドが発行された場合に生成されるんですかね。
bin/playlog コマンドに tty ディレクトリ以下にあるファイルを指定すると、どのような流れでコマンドが発行されたかを確認することが出来ます。
$ bin/playlog log/tty/xxxxx.log
cowrie-logviewer を使う
cowrie-logviewer は検索等は出来ないけど、どこの国からアクセスされたかなどを閲覧しやすくしてくれるツールです。
ログファイルが少ないときは問題ないですが、1週間程度動かし続けてログが溜まった状態でこの Viewer を使おうとすると書籍のインスタンスタイプでは CPU が100%に張り付くので要注意です。溜まったログを見る場合は、ちゃんとローカルに落としてきてからやりましょー。
$ python cowrie-logviewer.py $ ssh <ip> -p <sshのポート> -N -L8080:127.0.0.1:5000
おわりに
まだ植えてから数時間しか経っていないにもかかわらず、もうすでに5つも tty 配下にログが出来てます。
ほんとすごいな。見方を変えれば、弱い設定でSSHなどをインターネットへ公開すればすぐに入られてしまうということです。公開サーバを運用している人は注意が必要ですね。
- 作者:森久和昭
- 発売日: 2017/01/27
- メディア: 単行本
ABOUT ME
都内のIT系企業に勤める会社員。自分の備忘録的なアウトプット用の場所で、ボルダリングやガシェッド、セキュリティの話題が中心です。