かわろぐ

技術、セキュリティ、その他もろもろ

MENU

WOWHoneypot を構築してみた

Cowrie につづいて、morihi_soc さんが作成されている、WOWHoneypot を植えてみました。

セットアップ方法

基本的には Github に書いてある環境の通りにセットアップしただけです。とても簡単ですね。唯一違う点は OS が Ubuntu 18.04 LTS だという点くらいでしょうか。

ここには書いてありませんが、サーバ自体のセキュリティアップデートは必ず全て適用して、SSHは秘密鍵のみに設定変更してからハニーポットの運用を開始するようにしましょう。ミイラ取りがミイラになっては仕方ないので…

$ sudo ufw default DENY
$ sudo ufw allow 80/tcp
$ sudo ufw allow 8080/tcp
※ SSH のアクセスポートも環境に合わせて追加してください。
$ sudo ufw enable
$ sudo vi /etc/ufw/before.rules
※ 「*filter」より前に下記の4行を追記する。
———————————————————————————
*nat
:PREROUTING ACCEPT [0:0]
-A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
COMMIT
———————————————————————————
$ sudo ufw reload
$ cd ~/
$ git clone https://github.com/morihisa/WOWHoneypot.git wowhoneypot
$ cd wowhoneypot
$ python3 ./wowhoneypot.py

試しにIP直打ちでアクセスしてみると、最下部の2行のようにWOWHoneypotのログにもちゃんと履歴がのこっているし、ログインフォームらしき画面も表示されているので正常に動作していることが確認できました。

f:id:kawa_xxx:20180430160852p:plain

WOWHoneypot を植えて

Cowrieのときはすぐにアクセスが来ましたが、WOWHoneypot の場合は wow と驚く程早く、攻撃者からのアクセスがあるわけではありませんでした。ちゃんとサービス化して気長に待ちましょうかね。

さて、Cowrie と合わせてそろそろログを集積する環境をちゃんとしなくては。