かわろぐ

技術、セキュリティ、その他もろもろ

MENU

GCP に cowrie ハニーポットを構築してみた

ニホンモモンガさんの書籍を参考に久しぶりにハニーポットを久しぶりに構築してみました。インスタンス等は書籍にある通り Google Cloud Platform を使ってUbuntu 16.04 LTS でセットアップしました。

よく使う cowrie の起動と停止のコマンド

$ sudo su - cowrie
$ bin/cowrie start
$ bin/cowrie stop

cowrie のログを見る

cowrie の bin/playlog で侵入者の動きを再現する

ログインに成功し、何らかのコマンドが発行された場合に生成されるんですかね。

bin/playlog コマンドに tty ディレクトリ以下にあるファイルを指定すると、どのような流れでコマンドが発行されたかを確認することが出来ます。

$ bin/playlog log/tty/xxxxx.log

cowrie-logviewer を使う

cowrie-logviewer は検索等は出来ないけど、どこの国からアクセスされたかなどを閲覧しやすくしてくれるツールです。

ログファイルが少ないときは問題ないですが、1週間程度動かし続けてログが溜まった状態でこの Viewer を使おうとすると書籍のインスタンスタイプでは CPU が100%に張り付くので要注意です。溜まったログを見る場合は、ちゃんとローカルに落としてきてからやりましょー。

$ python cowrie-logviewer.py
$ ssh <ip> -p <sshのポート> -N -L8080:127.0.0.1:5000

おわりに

まだ植えてから数時間しか経っていないにもかかわらず、もうすでに5つも tty 配下にログが出来てます。

ほんとすごいな。見方を変えれば、弱い設定でSSHなどをインターネットへ公開すればすぐに入られてしまうということです。公開サーバを運用している人は注意が必要ですね。

サイバー攻撃の足跡を分析するハニーポット観察記録

サイバー攻撃の足跡を分析するハニーポット観察記録