欺负一下暴力破解 SSH 密码的脚本小子,分享一个 SSH 蜜罐

2016-09-17 17:58:56 +08:00
 raysonx
这是一个在 GitHub 上找到的开源项目,名叫 Cowrie : https://github.com/micheloosterhof/cowrie
简单地测试了一下,支持记录暴破用的密码,支持记录登录蜜罐后执行的命令,“登录”后是一个伪装的 Debian 系统,还支持伪装的 apt-get install (笑)。
还可以配置成让对方暴破一定随机次数后“登录”,简直神器。
11734 次点击
所在节点    Linux
45 条回复
raysonx
2016-09-17 22:31:38 +08:00
@20150517 所以我刚刚说,如果能逃出去,“直接搞个大新闻” XD
20150517
2016-09-17 22:36:46 +08:00
@raysonx 我在试这个 docker,这个能不能记录下来别人使用的命令?
20150517
2016-09-17 22:37:12 +08:00
一般他们都会向这服务器传些东西的,我想看看他们到底是想干吗
raysonx
2016-09-17 22:43:27 +08:00
@20150517 当然可以啊,你可以用我做的 dockerfile 和 compose file: https://github.com/vfreex/docker-cowrie
说明里面有写找日志的位置。如果你没改 git clone 下来的目录的名字的话,日志文件在
/var/lib/docker/volumes/dockercowrie_cowrie-log/_data/cowrie.log
alect
2016-09-17 22:46:11 +08:00
@iCodex 挺好玩。。
20150517
2016-09-17 22:57:00 +08:00
@raysonx
Traceback (most recent call last):
File "<string>", line 3, in <module>
File "compose/cli/main.py", line 61, in main
File "compose/cli/main.py", line 113, in perform_command
File "contextlib.py", line 35, in __exit__
File "compose/cli/errors.py", line 56, in handle_connection_errors
TypeError: log_timeout_error() takes exactly 1 argument (0 given)
docker-compose returned -1

好像不行啊,有错误
swsh007
2016-09-17 23:05:37 +08:00
这个好玩。
raysonx
2016-09-17 23:06:21 +08:00
@20150517
1.测试一下你的 docker 运行是否正常:
docker info
2. 检查 docker-compose 运行是否正常:
docker-compose -v
另外你的 docker-compose 是怎么安装的呢?用 pip 升级一下试试?
sudo pip install docker-compose -U
raysonx
2016-09-17 23:09:23 +08:00
@20150517 对了,如果你是用普通账号运行 docker 或者 docker-compose 命令,你的账号比须在 docker 组里。
否则,你就只能用 sudo 执行 docker 或者 docker-compose 命令了。
20150517
2016-09-17 23:29:40 +08:00
@raysonx 可以了,可惜默认密码还是有点复杂啊,哈哈,要是能随便什么密码都能通过就好了
raysonx
2016-09-17 23:34:47 +08:00
@20150517 各种配置都在 cowrie.cfg 里面,包括密码配置。
它默认是允许任何密码登录的,如果你用的我的 docker 镜像的话,我的那个配置更改成了随机 2-5 次才会登录成功,和你用什么密码没什么关系。见“ auth_class_parameters = 2, 5, 10 ”这一行。
Satan4869
2016-09-18 00:15:31 +08:00
蜜罐原来是这么个意思,我还以为和火罐差不多呢……
刚刚拔了次火罐的路过……
starqoq
2016-09-18 02:19:37 +08:00
我记得蜜罐还有一个很贱的 feature 。
就是你在 ssh 登录后输入 exit ,并不会断开,
但是你以为断开了,就尝试连接下一个成果了。
RqPS6rhmP3Nyn3Tm
2016-09-18 06:16:15 +08:00
可是,直接禁止密码登录不就好了吗……
des
2016-09-18 07:22:21 +08:00
楼主,要是对方玩 fork 炸弹或者 io 给你塞满呢?
matrix67
2016-09-18 07:42:44 +08:00
fio 写满磁盘 io
iperf netperf 打满带宽
memtest stress 跑满内存 CPU

哼,
beyondsoft
2016-09-18 07:59:03 +08:00
哈哈哈 这个蜜罐不错,还模拟了内网的网络 回头内网部署一个加个告警监控 钓鱼执法
lxrmido
2016-09-18 08:27:44 +08:00
mark~~~
shippo7
2016-09-18 08:49:45 +08:00
这个好酷
raysonx
2016-09-18 09:06:00 +08:00
@des 对方能够执行的命令十分有限,没有试过 fork 炸弹能否运行,回头测试一下。谨慎起见的话,跑在 docker 里可以限制资源使用。
@matrix67

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/306777

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX