前言:Cowrie是基于kippo更改的中交互ssh蜜罐, 可以对暴力攻击账号密码等记录,并提供伪造的文件系统环境记录黑客操作行为, 并保存通过wget/curl下载的文件以及通过SFTP、SCP上传的文件。而此文主要对该蜜罐的监控效果做个简单的测试,并在受到暴力破解攻击的时候实现自动化邮件告警。
 
一、T-Pot平台cowrie 蜜罐ssh暴力破解探测
由下图可知,cowrie的地址为172.17.0.4 (该地址可能会变动,测试时以实际分配IP为准)

首页-》UI-For-Docker-》Containers
因T-Pot仅部署在测试虚拟机里而并未部署在网络流量出入口,所以本地测试时远程ssh连接cowrie的2222端口,使用以下命令尝试登陆发现Dashboard里的Cowrie-Event Counter成功捕获到了异常连接信息。
[tsec@ptarmiganantelope:~]$ ssh -p 2222 172.17.0.4
 
 另外,将DashBoard设置为cowrie专用模板后展示的信息将会更加全面,将屏幕刷新时间设置为5s后即可配置SSH恶意连接状况的实时动态展现。
 
二、cowrie配置实现自动化邮件告警
有报警信息就肯定有日志,cowrie的报警日志保存在了以下路径。
/data/cowrie/log/cowrie.log

接下来就是制作监控脚本,所实现的功能是检测该日志是否有新的登录记录产生,如果发现了新的登录记录立刻向管理员发送出告警邮件。 而该告警邮件中应包含攻击者暴力破解时所使用的用户名、密码及攻击者IP地址。另外,脚本最好不要保存在/data/cowrie/log目录下,我这里放在了/root目录下了。

脚本内容:/root/diff.sh








#! /bin/bash

grep 'login attempt' /data/cowrie/log/cowrie.log > /data/cowrie/log/cowrieSSH.log.new

diff /data/cowrie/log/cowrieSSH.log.new /data/cowrie/log/cowrieSSH.log.old > /data/cowrie/log/diff.txt

if [ $? == "" ] ; then

echo "未探测到SSH异常连接!"

else

echo "SSH异常连接,正在发送确认邮件...!"

mail -s '[T-POT] cowrie monitor warnning!!!' pentest@.com < /data/cowrie/log/diff.txt

cp /data/cowrie/log/cowrieSSH.log.new /data/cowrie/log/cowrieSSH.log.old

echo "邮件发送成功!"

fi






给监控脚本添加可执行权限






chmod u+x /root/diff.sh




给监控脚本添加计划任务,要求每分钟执行一次(执行频率可根据需要自行设置)。




# vim /etc/crontab  添加以下内容到crontab里






# Check cowrie HoneyPot

* * * * * root /root/diff.sh




重启cron服务,使得修改过的cron服务立刻生效








/etc/init.d/cron restart 






最后,SSH连接cowrie的IP(ssh -p 2222 172.17.0.4),尝试输入错误密码888888后发现收到了异常告警邮件!


 


 


 


ps:


(1)整个流程实现略显复杂,待后续研究优化。


(2)测试所用邮件服务是在ubuntu系统上安装的sendmail。


(3)查看T-Pot平台各蜜罐服务状态及设置开机自启动




  》systemctl status conpot/dionaea/elasticpot/emobility/glastopf/honeytrap


  》systemcel enable conpot/dionaea/elasticpot/emobility/glastopf/honeytrap


(4)发送邮件到163或QQ邮箱的时候可能会被当作垃圾邮件处理,可以尝试在hosts文件里添加发送源邮箱的域名(如以下红体字部分)






[root@ptarmiganantelope:/data/cowrie/log]# vim /etc/hosts

127.0.0.1       localhost

127.0.1.1       ptarmiganantelope hbmapentest.ips.com




  同时,观察是否存在以下进程以确认sendmail是否正常工作




[root@ptarmiganantelope:/data/cowrie/log]# ps aux | grep sendmail

root          0.0  0.1    ?        Ss   :   : sendmail: MTA: accepting connections

root        0.0  0.0     pts/    S+   :   : grep --color=auto sendmail






												


											
T-Pot平台cowrie蜜罐暴力破解探测及实现自动化邮件告警的更多相关文章
	

    
								
  1. T-Pot平台Honeytrap蜜罐TCP/UDP服务攻击探测及实现自动化邮件告警
		
    T-pot平台的Honeytrap可观察针对TCP或UDP服务的攻击,作为一个守护程序模拟一些知名的服务,并能够分析攻击字符串,执行相应的下载文件指令,当不产生TCP或者UDP协议的时候Honeytr ...
    
		
    2. 
						
  2. web攻击与防御技术-平台搭建与暴力破解
		
    平台搭建是首先安装xampp并把pikachu的压缩文件解压在HTdocs下 然后 点击后显示 安装成功 首先随便输入一些东西 然后用burpsuite抓包 对username和password字段进 ...
    
		
    3. 
						
  3. Pikachu漏洞练习平台实验——暴力破解(一)
		
    概述 一个有效的字典可以大大提高暴力破解的效率 比如常用的用户名/密码TOP500 脱裤后的账号密码(社工库) 根据特定的对象(比如手机.生日和银行卡号等)按照指定的规则来生成密码 暴力破解流程 确认 ...
    
		
    4. 
						
  4. 搭建pikachu平台及暴力破解
		
    一.先将Pikachu文件放在网站根目录下 二.修改pikachu网站的配置文件  inc/config.inc.php define('DBUSER', 'user'); define('DBPW' ...
    
		
    5. 
						
  5. Pikachu练习平台(暴力破解)
		
    Pikachu练习平台(暴力破解) 因为下面要用到burp suite,这里先简单介绍一下intruder模块的东西 Target选项:        设置攻击目标,可以通过proxy发送 Pasit ...
    
		
    6. 
						
  6. C#.NET 大型企业信息化系统集成快速开发平台 4.2 版本 - 防止暴力破解密码、提高大型信息系统安全
		
    几十万人使用的系统.覆盖全国.每天营业额上好几个亿的.若信息安全方面太薄弱了.那将会是致命的打击.甚至威胁到企业的正常运转.从国家层面到企业级别大家都在重视信息的安全.可控. 运行速度慢一点点可以忍受 ...
    
		
    7. 
						
  7. 暴力破解unix/linux平台上采用crypt加密的口令
		
    # coding=utf-8 ''' 暴力破解crypt模块加密的密码 ''' import crypt import optparse usage = 'Usage: %prog [optinos] ...
    
		
    8. 
						
  8. Cowrie蜜罐部署教程【转载】
		
    0.蜜罐分类: 低交互:模拟服务和漏洞以便收集信息和恶意软件,但是攻击者无法和该系统进行交互: 中等交互:在一个特有的控制环境中模拟一个生产服务,允许攻击者的部分交互: 高交互:攻击者可以几乎自由的访 ...
    
		
    9. 
						
  9. Web攻防之暴力破解(何足道版)
		
    原创文章 原文首发我实验室公众号 猎户安全实验室 然后发在先知平台备份了一份 1 @序 攻防之初,大多为绕过既有逻辑和认证,以Getshell为节点,不管是SQL注入获得管理员数据还是XSS 获得后台 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 每天减一半。问多少天这个绳子会小于5米?进而得while和for的关系
			
    一:前提 1.程序 2.结果 3.使用 for的条件只要>5 变化的条件是x/=2 4.进而使用while,得第二种方法 5.结果相同 二:结论 程序可以使用for的必将可以使用while. 其 ...
    
			
    2. 
						
  2. 用js来实现那些数据结构01(数组篇01-数组的增删)
			
    在开始正式的内容之前,不得不说说js中的数据类型和数据结构,以及一些比较容易让人混淆的概念.那么为什么要从数组说起?数组在js中是最常见的内存数据结构,数组数据结构在js中拥有很多的方法,很多初学者记 ...
    
			
    3. 
						
  3. 【RAY TRACING THE REST OF YOUR LIFE 超详解】 光线追踪 3-3 蒙特卡罗 (三)
			
    开学人倍忙,趁着第二周周末,我们继续图形相关的博客  Preface 今天我们来介绍一些理论方面的东西,为Monte Carlo 应用到我们的光线追踪器做铺垫 我们今天会介绍两章的东西,因为有一章内容 ...
    
			
    4. 
						
  4. xss总结--2018自我整理
			
    0x00前言 因为ctf中xss的题目偏少(因为需要机器人在后台点选手的连接2333),所有写的比较少 这里推荐个环境http://test.xss.tv/ 0x01xss作用 常见的输出函数:pri ...
    
			
    5. 
						
  5. asp.net core for vs code
			
    1,命令 2,模板 3,更换启动浏览器 4,vscode使用nuget 5,使用ef migration 6,配置.net core的工作目录 7,使用dotnet ef migrations命令 8 ...
    
			
    6. 
						
  6. 项目Alpha冲刺——随笔集合
			
    课程名称:软件工程1916|W(福州大学) 作业要求:项目Alpha冲刺(团队) 团队名称:葫芦娃队 作业目标:汇总这次冲刺项目的所有随笔文件. 队员学号 队员昵称 博客地址 041602421 de ...
    
			
    7. 
						
  7. C语言字符串操作详细总结
			
    1)字符串操作 strcpy(p, p1) 复制字符串 strncpy(p, p1, n) 复制指定长度字符串 strcat(p, p1) 附加字符串 strncat(p, p1, n) 附加指定长度 ...
    
			
    8. 
						
  8. unity DoTween使用
			
    先说插件获取,DoTween是一个开源的插件,它的代码托管在Github上[https://github.com/Demigiant/dotween].若只是单纯项目需要是可以去AssetStore获 ...
    
			
    9. 
						
  9. Android Fragment 详解(未完...)
			
    版权声明:本文为博主原创文章,未经博主允许不得转载. 微博:厉圣杰 源码:AndroidDemo/Fragment 文中如有纰漏,欢迎大家留言指出. 之前写过一篇关于 Fragment 生命周期的文章 ...
    
			
    10. 
						
  10. ESAPI学习笔记
			
         ESAPI是owasp提供的一套API级别的web应用解决方案,本人通过对ESAPI和其提供的demo源码学习发现,关键的不是对其所提供的API的使用,而是其web应用安全防御体系的构建的思 ...
    
			
    11.