人間ハニーポット作戦

普通のハニーポットに戻りたい〜><

iptablesのnatでリダイレクト先ポートを外から直接アクセスできないようにする

やりたいこと

わかりづらいタイトルですがやりたいことは以下。

例えば、8080番ポートでwebサーバを立てた時、80番でもアクセスしたい場合に

# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080

としますよね?

そうすると、外から見えるポートはこんなかんじ。

$ nmap [targetIP]
Starting Nmap 7.70 ( https://nmap.org ) at 2018-06-15 20:18 JST
Nmap scan report for [targetIP]
Host is up (0.067s latency).
Not shown: 996 closed ports
PORT     STATE  SERVICE
80/tcp   open   http
8080/tcp open   http-proxy

Nmap done: 1 IP address (1 host up) scanned in 6.62 seconds

ポートスキャナのNmapでスキャンしてみました。
80番と8080番が空いています。繋いでみると、どちらも8080番に繋がります。
通常の使い方だとこれで良いのですが、ハニーポットなどでroot権限でプログラムを動かすのを避けるためにポートフォワーディングしている場合、80番だけを外に見せていたくなります。ポートスキャンしたときに2つも同じサービスが動いているのは怪しまれる材料になりますからね。
というわけでプログラムを8080番で動かしつつ、80番だけでサービスを動かすiptablesを設定します。

最初に大部分で参考にさせてもらった記事を載せておきます

qiita.com

続きを読む

ハニーポットやらかし大全

小ネタとしてハニーポット作成の失敗ケースを挙げていきます。大全といっても5つしかないし少々ふざけた内容が入っていますがご笑納ください。笑えなかったらごめんね!

  • 1. ログをコピーしようとして全消し
  • 2. ログを取りすぎてディスクが埋まった
  • 3. 採集したマルウェアをPCに移動させようとしてアンチウイルスに引っ掛かり消される
  • 5. user&passwordがデフォルト設定のままSSHを開ける
  • やらかした感想
続きを読む

初心者がハニーポット開発した話

この記事はHoneypot Advent Calendar25日目の記事です。
遅れすぎて年越しカウントダウンカレンダーになってしまったゾ。
今回は失敗談みたいな感じです。ためになりはしませんが、笑い話になるかなー?
あと、面倒で画像とかつける気になれなかったのでポエムっぽいですが、すみません想像してください。

続きを読む

無線LANルータで遊ぶ

最近何故だかアウトプットに億劫になっているので小ネタを投下。(今日やったことそのままって感じ)
よくあるネタです。

本日の玩具

製品切り替えのタイミングで安かったので無線LANルータを玩具にするつもりで買ってみた。amazonと比べると1000円以上安かった。まぁちょっと古いんだけど。
NECのWF300HP2って書いてるルータ。
私はネットワークの知識についてはほぼ皆無と言っていいほどなので、あまり自由度は高くはありませんが触るかーってな具合です。(ハニーポットやってるくせに)

続きを読む

ABCTF 2016 write up

ABCTF 2016 write up

ABCTFに、CTF wo Suruというチームで参加しました。
23位で3545ptでした。私は時間があまり取れずちょっとだけしか参加してません。
私は50ptと120ptを通しました。他4人のチームメンバーが強い。すごい。
というわけで120ptだけwrite up書きます。

続きを読む

SSHハニーポットはKippoではなくCowrieを使え

お久しぶりです。記事を書こうとして下書きが積もっていっております・・・。 今回はサクッと。

今回の内容

ハニーポット入門としてよく導入されるKippo。 しかしKippoは攻撃者に対策されたり、エラーが発生したりして思うようにマルウェアやログを取ることができません。
そういうときはKippoの改良版(?)的なCowrieを使っていきましょう。

Kippo全然うまくいかないよー、どうして?となっている人をたまに見かけます。ぜひともCowrieを使ってほしいです。

今回の記事では、Kippoが何故適さないのかを考えていきたいと思います。
あまり詳細には書きませんが、いわゆるKippoの挙動解説になります。

個人的にKippoは推奨していないので、挙動について書く意味は少ないと思います。
もしKippoの導入とかあれこれについて調べていてこの記事を見つけた方は、この記事を読むよりCowrieについて調べたほうがよいかもしれません。

続きを読む

Raspberry Pi2でWordPress(と、ついでにSSH)なハニーポットを作ったお話。

この記事はRaspberry Pi Advent Calendar12日目の記事です。

www.adventar.org

Raspberry Pi2にWordPressSSHハニーポットcowrieを入れたお話。

続きを読む