CentOS7にハニーポットWOWHoneypotを導入する

2018年5月2日

今年の4月から新社会人になりました.なので最近バタバタしていたこともあり,久しぶりに技術系のブログ投稿になります.

普段Webの攻撃を調査するためにGlastopfを運用しているのですが,Glastopfは現在開発が行われていないこともあり森久さんの作成したWOWHoneypotが気になっていました.しかし実際に運用してみないことには,どちらを用いたほうがより自分の目的に合っているのかわからないので,運用して比較してみようと思います.

今回はその導入編ということで,いつものようにCentOS7にWOWHoneypotを導入していきます.

WOWHoneypotとは

Welcome to Omotenashi Web Honeypot(WOWHoneypot)は,簡単に構築可能で,シンプルな機能で動作を把握しやすくした,サーバ側低対話型の入門用Webハニーポットです.ルールベースのマッチ&レスポンス機能により,攻撃者に気持ちよく攻撃してもらい,得られるログの幅を広げることができます.

送信元からのHTTPリクエストをそのまま保存するので,後からじっくりゆっくりログ分析をすることが可能です.

特徴
・構築が簡単
・HTTPリクエストをまるっと保存
・デフォルト200OK
・マッチ&レスポンス

https://github.com/morihisa/WOWHoneypotより

WOWHoneypotはなんといっても構築が簡単といった特徴があります.Honeypotの導入難度が高いということも,開発を行った目的の1つであるらしく,Python3系さえあれば動きます.

より詳細な使い方はこちらの資料に載っています.

WOWHoneypotの導入

WOWHoneypotのインストール

Pythonのインストール

# yum install python36

WOWHoneypot用ユーザの追加

# useradd wowhoneypot
# passwd wowhoneypot
# su wowhoneypot
$ cd ~

WOWHoneypotのダウンロード

$ git clone https://github.com/morihisa/WOWHoneypot.git wowhoneypot

WOWHoneypotの設定及び起動

ポートの変更

私の環境ではGlastopfを10080番ポートで動かし,firewalldで80→10080にポートフォワーディングしています.そこでGlastopfとWOWHoneypotの切り替えが容易に行えるよう,WOWHoneypotも10080番ポートで動かすように設定しました.

$ vim wowhoneypot/config.txt
port=10080

起動コマンド

python36 wowhoneypot.py &

systemdにサービス登録

起動用シェルスクリプトを作成

$ mkdir bin
$ vim bin/wowhoneypot-start.sh
#!/bin/bash

cd /home/wowhoneypot/wowhoneypot/
python36 wowhoneypot.py &

exit 0

$ chmod 744 bin/wowhoneypot-start.sh

サービス定義ファイルの作成及び起動確認

# vim /etc/systemd/system/wowhoneypot.service
[Unit]
Description=Welcome to Omotenashi Web Honeypot (WOWHoneypot)
Documentation=https://github.com/morihisa/WOWHoneypot
After=network.target

[Service]
Type=forking
User=wowhoneypot
Group=wowhoneypot
ExecStart=/home/wowhoneypot/wowhoneypot/bin/wowhoneypot-start.sh
Restart=on-failure
TimeoutSec=300

[Install]
WantedBy=multi-user.target

# systemctl daemon-reload
# systemctl enable wowhoneypot
# systemctl start wowhoneypot
# systemctl status wowhoneypot
  Active: active (running)

ブラウザからサーバのIPアドレスにアクセスし,何らかのHTMLファイルが返ってきたら正常に動作しています.

WOWHoneypotの利用方法

Dionaeaの簡単な利用方法は以下の通りです.

  • 設定ファイル
    • 本体設定ファイル:/home/wowhoneypot/wowhoneypot/config.txt
  • ログファイル
    • 動作ログ:/home/wowhoneypot/wowhoneypot/log/wowhoneypot.log
    • アクセスログ:/home/wowhoneypot/wowhoneypot/log/access_log

おわりに

これでWOWHoneypotの導入は以上になります.

今はまだ導入しただけで,引き続きGlastopfを動かしていますが,どちらも運用してみて特徴の比較などできたら面白いかなぁと思っています.とはいってもWeb系ハニーポットのログはまだまだ分析不足な上,多くの攻撃ログを収集できるように工夫している最中です.技術力が足りなさすぎてハニーポットの性能比較は当分先になりそうです.

ちなみに最近ハニポ以外に,CTFにも興味を持ち始めました^^v

参考文献

https://github.com/morihisa/WOWHoneypot
https://speakerdeck.com/morihi_soc/chu-xin-zhe-xiang-kehanihotuto-wowhoneypot-falseshao-jie