以前から気になっていたので、SSH型のハニーポットのCowrieをインストールしてみました。Cowrieのログの分析用に公開されているログビューアも同時に入れて試してみました。
ユーザ作成
Cowrieを動かすユーザを作成します。
$ su - cowrie
Cowrieをインストール
gitから落としてきます。
$ cd cowrie/
設定ファイルを作成します。
もともとあるものをコピーするだけで大丈夫みたいです。
起動するポートを変える場合はこのファイルで指定します。
$ cp etc/cowrie.cfg.dist etc/cowrie.cfg
virtualenv
$ virtualenv cowrie-env
$ source cowrie-env/bin/activate
(cowrie-env) $ pip install -r requirements.txt
(cowrie-env) $ deactivate
起動
下のコマンドで起動します。
$ bin/cowrie start
ログビューア
ログビューアとしてcowrie-logviewerも一緒に入れました。
$ git clone https://github.com/mindphluxnet/cowrie-logviewer.git
$ cd cowrie-logviewer
$ source ~/cowrie/cowrie-env/bin/activate
$ pip install -r requirements.txt
$ mkdir maxmind
$ cd maxmind
$ wget http://geolite.maxmind.com/download/geoip/database/GeoLite2-Country.mmdb.gz
$ gunzip GeoLite2-Country.mmdb.gz
パスを設定します。
cowrie-logviewer.pyをエディタで開いて#: change stuff hereって書かれているところを自分の環境に合わせて書き換えます。
#: change stuff here
sqlite_file = 'cowrie-logviewer.sqlite'
log_path = '../var/log/cowrie'
dl_path = '../var/lib/cowrie/downloads/'
maxmind_path = 'maxmind/GeoLite2-Country.mmdb'
起動します。
python cowrie-logviewer.py
思ったより通信が飛んできていて、すごいなぁって思いました。
参考
ハニーポットの運用が規約違反でないか調べてみた - blackle0pard.net” target=”_blank">
SSHハニーポットのCowrieをインストールしてみた - とりあえずブログ
