Github: https://github.com/cowrie/cowrie
カウリー
Cowrie GitHubリポジトリへようこそ
これはCowrie SSHとTelnet Honeypotの公式リポジトリです。
Cowrieとは何ですか?
Cowrieは、攻撃者がブルートフォース攻撃とシェルの対話を記録するように設計された、中規模の対話型SSHとTelnetハニーポットです。
CowrieはMichel Oosterhofによって開発されました。
スラック
次のSlackワークスペースでCowrieコミュニティに参加できます
特徴
いくつかの興味深い機能:
-
ファイルを追加/削除する機能を持つ偽のファイルシステム。 Debian 5.0のインストールに似た完全な偽のファイルシステムが含まれています
-
/etc/passwd
ようなcat
ファイルを攻撃者ができるように、偽のファイルの内容を追加する可能性があり/etc/passwd
。 最小限のファイル内容のみが含まれています -
セッションログは、
bin/playlog
ユーティリティで元のタイミングで簡単に再生できるように、 UML Compatible形式で保存されます。 -
Cowrieは、wget / curlでダウンロードしたファイルを保存し、SFTPとscpでアップロードして、後で検査ログを出力します。標準kippo以上の追加機能:
-
ファイルアップロードのSFTPおよびSCPサポート
-
SSH execコマンドのサポート
-
ダイレクトTCP接続試行のログ(sshプロキシ)
-
SMTPハニーポットへのSMTP接続を転送する(例: mailoney )
-
ログ管理ソリューションで簡単に処理できるようにJSON形式でログする
-
多くの多くの追加コマンド
ドッカー
ドッカーのバージョンが利用可能です。
- ドッカーファイルをhttps://github.com/cowrie/docker-cowrieから直接入手してください
- Docker Hubから実行する:
docker pull cowrie/cowrie
要件
必要なソフトウェア:
- Python 2.7+(限定されたPython 3のサポートはSSHでのみ利用可能)
- python-virtualenv
Pythonの依存関係については、requirements.txtを参照してください。
関連ファイル:
-
cowrie.cfg
– Cowrieの設定ファイル。 デフォルト値はetc/cowrie.cfg.dist
-
share/cowrie/fs.pickle
– 偽ファイルシステム -
data/userdb.txt
– ハニーポットへのアクセスを許可または拒否するクレデンシャル -
honeyfs/
– 偽のファイルシステムのファイル内容 – 実際のシステムをここにコピーするか、bin/fsctl
使用してbin/fsctl
-
honeyfs/etc/issue.net
– 事前ログインバナー -
honeyfs/etc/motd
– ログイン後のバナー -
var/log/cowrie/cowrie.json
– JSON形式のトランザクション出力 -
var/log/cowrie/cowrie.log
– ログ/デバッグ出力 -
var/lib/cowrie/tty/
– セッションログ。binbin/playlog
ユーティリティで再生できます。 -
var/lib/cowrie/downloads/
– 攻撃者からハニーポットに転送されたファイルがここに格納されます -
share/cowrie/txtcmds/
– 単純な偽のコマンドのためのファイル内容 -
bin/createfs
– 偽のファイルシステムを作るために使われる -
bin/playlog
– セッションログを再生するユーティリティ
それは安全ですか?
多分。 よくある質問を見る
私はいくつかの質問があります!
https://cowrie.slack.com/にアクセスし、#questionsチャンネルに参加してください
貢献者
長年にわたって多くの人々がカウリーに貢献してきました。 特別なおかげで:
- Cowrieの基盤となったKippoを開発する彼のすべての仕事のためのUpi Tamminen(desaster)
- Dave Germiquet(davegermiquet)のTFTPサポート、単体テスト、新しいプロセス処理
- TelnetサポートのためのOlivier Bilodeau(obilodeau)
- Ivan Korolev(fe7ch)は長年にわたって多くの改良を行ってきました。
- そして多くの他の多くの。