honeypot
PR

WOWHoneypot を構築してみた

kawa.xxx
記事内に商品プロモーションを含む場合があります

Cowrie につづいて、morihi_soc さんが作成されている、WOWHoneypot を植えてみました。

セットアップ方法

基本的には Github に書いてある環境の通りにセットアップしただけです。とても簡単ですね。唯一違う点は OS が Ubuntu 18.04 LTS だという点くらいでしょうか。

ここには書いてありませんが、サーバ自体のセキュリティアップデートは必ず全て適用して、SSHは秘密鍵のみに設定変更してからハニーポットの運用を開始するようにしましょう。ミイラ取りがミイラになっては仕方ないので…

$ sudo ufw default DENY
$ sudo ufw allow 80/tcp
$ sudo ufw allow 8080/tcp
※ SSH のアクセスポートも環境に合わせて追加してください。
$ sudo ufw enable
$ sudo vi /etc/ufw/before.rules
※ 「*filter」より前に下記の4行を追記する。
———————————————————————————
*nat
:PREROUTING ACCEPT [0:0]
-A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
COMMIT
———————————————————————————
$ sudo ufw reload
$ cd ~/
$ git clone https://github.com/morihisa/WOWHoneypot.git wowhoneypot
$ cd wowhoneypot
$ python3 ./wowhoneypot.py

試しにIP直打ちでアクセスしてみると、最下部の2行のようにWOWHoneypotのログにもちゃんと履歴がのこっているし、ログインフォームらしき画面も表示されているので正常に動作していることが確認できました。

f:id:kawa_xxx:20180430160852p:plain

WOWHoneypot を植えて

Cowrieのときはすぐにアクセスが来ましたが、WOWHoneypot の場合は wow と驚く程早く、攻撃者からのアクセスがあるわけではありませんでした。ちゃんとサービス化して気長に待ちましょうかね。

さて、Cowrie と合わせてそろそろログを集積する環境をちゃんとしなくては。

ABOUT ME
kawa.xxx
都内のIT系企業に勤める会社員。自分の備忘録的なアウトプット用の場所で、ボルダリングやガシェッド、セキュリティ、カメラの話題が中心です。
記事URLをコピーしました