kippo进阶版蜜罐：Cowrie

欢迎来到Cowrie GitHub知识库

这是Cowrie SSH和 TelnetHoneypot工作的官方存储库。

什么是Cowrie

Cowrie是一个中高度交互的SSH和Telnet蜜罐，用于记录暴力攻击和攻击者执行的外壳交互。在中等交互模式(外壳)中，它用Python列出一个UNIX系统；在高交互模式(代理)中，它充当SSH和telnet代理，观察攻击者对另一个系统的行为。

Cowrie由米歇尔·奥斯特霍夫维护。

文件

可以找到文档这里。

松弛的

您可以通过以下方式加入考瑞社区松弛工作空间。

特征

• 选择作为模拟外壳运行(默认):
  

• 能够添加/删除文件的假文件系统。包含了一个类似于Debian 5.0安装的完整的假文件系统

• 添加虚假文件内容的可能性，以便攻击者能够窃取/etc/passwd等文件。仅包含最少的文件内容

• 考瑞保存用wget/curl下载的文件或用SFTP和scp上传的文件，供以后检查
  

• 或者代理SSH并远程登录到另一个系统
  

• 作为纯telnet和ssh代理运行，并进行监控

• 或者让Cowrie管理一个Qemu虚拟服务器池，为登录提供系统

对于两种设置:

• 会话日志存储在统一建模语言兼容使用bin/playlog实用程序轻松重放的格式。

• SFTP和SCP支持文件上传

• 支持SSH执行命令

• 直接tcp连接尝试的日志记录(ssh代理)

• 将SMTP连接转发到SMTP蜜罐(例如mailoney)

• 日志管理解决方案中易于处理的JSON日志记录
  

码头工人

有码头工人版本。

• 要快速开始并尝试考瑞，请运行:

  docker run-p 2222:2222 cow rie/cow riessh-p 2222 root @ localhost

• 码头中心:https://hub.docker.com/r/cowrie/cowrie

• 或者直接从以下网址获取文件https://github.com/cowrie/docker-cowrie

要求

所需软件:

• Python 3.5 版

• python-virtualenv
  

有关Python依赖关系，请参见要求. txt。

感兴趣的文件:

• etc/cowrie.cfg - Cowrie的配置文件。默认值可以在中找到etc/cowrie.cfg.dist。

• share/cowrie/fs.pickle -假文件系统

• etc/userdb.txt -访问蜜罐的凭据

• honeyfs/-假文件系统的文件内容-请随意在这里复制一个真实的系统或使用bin/fsctl

• honeyfs/etc/issue.net -预登录横幅

• honeyfs/etc/motd-登录后横幅

• var/log/cow rie/cow rie . JSON-JSON格式的事务输出

• var/log/cow rie/cow rie . log-log/debug输出

• var/lib/cowrie/tty/ -会话日志，可通过bin/playlog实用程序重新播放。

• var/lib/cowrie/downloads/ -从攻击者转移到蜜罐的文件存储在这里

• share/cowrie/txtcmds/-简单假命令的文件内容

• bin/createfs-用于创建假文件系统

• bin/playlog-重放会话日志的实用程序
  

数据共享

默认情况下，考瑞会将崩溃和Python异常的数据上传到api.cowrie.org。

这些信息用于改进蜜罐，不与第三方共享。

可以通过在 [output_crashreporter中设置enabled=false来禁用它。

贡献者

多年来，许多人都为考瑞做出了贡献。特别感谢

• 合众国际社塔米宁(desaster)为他所有的工作发展基普，考瑞的基础

• 戴夫·格米凯(Dave Germiquet)负责TFTP支持、单元测试、新流程处理

• Olivier Bilodeau(oblo deau)获得Telnet支持

• 伊万·科洛列夫(fe7ch)多年来进行了许多改进。

• Florian Pelgrim (craneworks)感谢他在代码清理和Docker方面的工作。

• 古伊列梅·博尔热斯(sgtpepperpt)为SSH和telnet代理(GSoC 2019)

• 以及许多其他人。

【文章来源】：https://github.com/cowrie/cowrie