ITオムライス

SSHハニーポット「Cowrie」を構築してみた

2018-10-31 技術系

以前から気になっていたので、SSH型のハニーポットのCowrieをインストールしてみました。Cowrieのログの分析用に公開されているログビューアも同時に入れて試してみました。

cowrie/cowrie

ユーザ作成

Cowrieを動かすユーザを作成します。

$ su - cowrie

Cowrieをインストール

gitから落としてきます。

$ cd cowrie/

設定ファイルを作成します。
もともとあるものをコピーするだけで大丈夫みたいです。
起動するポートを変える場合はこのファイルで指定します。

$ cp etc/cowrie.cfg.dist etc/cowrie.cfg

virtualenv

$ virtualenv cowrie-env
$ source cowrie-env/bin/activate
(cowrie-env) $ pip install -r requirements.txt
(cowrie-env) $ deactivate

起動

下のコマンドで起動します。

$ bin/cowrie start

ログビューア

ログビューアとしてcowrie-logviewerも一緒に入れました。

mindphluxnet/cowrie-logviewer

$ git clone https://github.com/mindphluxnet/cowrie-logviewer.git
$ cd cowrie-logviewer
$ source ~/cowrie/cowrie-env/bin/activate
$ pip install -r requirements.txt

$ mkdir maxmind
$ cd maxmind
$ wget http://geolite.maxmind.com/download/geoip/database/GeoLite2-Country.mmdb.gz
$ gunzip GeoLite2-Country.mmdb.gz

パスを設定します。

cowrie-logviewer.pyをエディタで開いて#: change stuff hereって書かれているところを自分の環境に合わせて書き換えます。

#: change stuff here
sqlite_file = 'cowrie-logviewer.sqlite'
log_path = '../var/log/cowrie'
dl_path = '../var/lib/cowrie/downloads/'
maxmind_path = 'maxmind/GeoLite2-Country.mmdb'

起動します。

python cowrie-logviewer.py

logviewer

思ったより通信が飛んできていて、すごいなぁって思いました。

参考

ハニーポットの運用が規約違反でないか調べてみた - blackle0pard.net” target=”_blank">

SSHハニーポットのCowrieをインストールしてみた - とりあえずブログ

ハニーポットCowrieを設置した話 - socketo.hatenablog.jp

【Cowrie】CentOS7にハニーポットを構築してみた話