Skip to content

morihisa/WOWHoneypot

master
Switch branches/tags

Name already in use

A tag already exists with the provided branch name. Many Git commands accept both tag and branch names, so creating this branch may cause unexpected behavior. Are you sure you want to create this branch?
1 branch 0 tags
Code

Latest commit

 

Git stats

Files

Permalink
Failed to load latest commit information.
Type
Name
Latest commit message
Commit time
art
 
 
log
 
 
LICENSE
 
 
README.md
 
 
chase-url.py
 
 
config.txt
 
 
mrr_checker.py
 
 
wowhoneypot.py
 
 
WOWHoneypot: 初心者向け! 攻撃者をおもてなしする Web ハニーポット 特徴 必要なもの 構築方法(Ubuntu 16.04 Server 64bit) 動作確認 ログファイル ハンティング機能(WOWHoneypot 1.1 で追加) 動作テスト済み環境 リリースノート Licence Author

README.md

WOWHoneypot: 初心者向け! 攻撃者をおもてなしする Web ハニーポット

Welcome to Omotenashi Web Honeypot(WOWHoneypot)は、簡単に構築可能で、シンプルな機能で動作を把握しやすくした、サーバ側低対話型の入門用 Web ハニーポットです。 ルールベースのマッチ&レスポンス機能により、攻撃者に気持ちよく攻撃してもらい、得られるログの幅を広げることができます。

送信元からの HTTP リクエストをそのまま保存するので、後からじっくりゆっくりログ分析をすることが可能です。

ハニーポッター技術交流会で発表したときの資料はこちらで公開しています。
初心者向けハニーポット WOWHoneypot の紹介

特徴

  • 構築が簡単
  • HTTP リクエストをまるっと保存
  • デフォルト200 OK
  • マッチ&レスポンス

必要なもの

  • Python3

構築方法(Ubuntu 16.04 Server 64bit)

$ sudo ufw default DENY
$ sudo ufw allow 80/tcp
$ sudo ufw allow 8080/tcp
※ SSH のアクセスポートも環境に合わせて追加してください。
$ sudo ufw enable
$ sudo vi /etc/ufw/before.rules
※ 「*filter」より前に下記の4行を追記する。
———————————————————————————
*nat
:PREROUTING ACCEPT [0:0]
-A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
COMMIT
———————————————————————————
$ sudo ufw reload
$ cd ~/
$ git clone https://github.com/morihisa/WOWHoneypot.git wowhoneypot
$ cd wowhoneypot
$ python3 ./wowhoneypot.py

動作確認

  • ブラウザでハニーポットの IP アドレスにアクセスして、何かしらの HTML ファイルが返ってきたら OK です。

ログファイル

  • log/wowhoneypot.log
  • WOWHoneypot の動作ログが記録されます。
  • log/access_log
  • アクセスログが記録されます。

ハンティング機能(WOWHoneypot 1.1 で追加)

  • ハンティング機能は、あらかじめ指定しておいた文字列が、要求内容に含まれていた場合に、その文字列をログとして保存します。
  • 使い方の例として、wget のようなファイルをダウンロードするコマンドに続いて URL が指定されている文字列を抽出することができます。
  • デフォルト設定では無効化されています。利用する場合は、config.txt の「hunt_enable」をTrueに変更してください。
  • 抽出する文字列は、art ディレクトリの huntrules.txt ファイルに1行につき1つ指定してください(正規表現で指定可能)。
  • 抽出したログは、log ディレクトリの hunting.log に保存されます([日時] 送信元IP 一致した文字列)。
  • hunting.log ファイルから、URL を抽出して VirusTotal へサブミットするサンプルスクリプト(chase-url.py)を公開しました。
  • chase-url.py を利用する場合、requests ライブラリが必要です($ pip install requests)。
  • 実行前に、VirusTotal API Key を取得して、chase-url.py に記載してください。
  • 1日や1時間に1回程度実行するといいと思います。ただし VirusTotal API の上限に引っかからないように注意してください。
  • サブミットするファイルは、メモリへキャッシュとして保存しますが、ディスクには保存しません。

動作テスト済み環境

  • macOS High Sierra & Python 3.6.3
  • Ubuntu 16.04.3 Server 64bit & Python 3.5.2
  • Windows 7 SP1 & Python 3.6.3

リリースノート

  • 2020年6月21日 WOWHoneypot Version 1.3 公開
    • 修正:表記の一部を blocklist に変更しました。
  • 2018年5月19日 WOWHoneypot Version 1.2 公開
    • 新機能:GDPR のため、IP アドレスをマスクして保存する設定項目を追加しました(デフォルト:無効)。
    • 新機能:アクセスログを保存するときの区切り文字を設定ファイルで指定できるようにしました(デフォルト:半角スペース1個)。
    • 改善:URL のパースで、メソッドが大文字アルファベットから始まるリクエストのみ受け入れるようにしました。
    • 改善:URL に"(ダブルクォート)が含まれていた場合は、%22に変換するようにしました。
    • 改善:huntrules.txt にルールを追加しました。
  • 2018年5月5日 WOWHoneypot Version 1.1 公開
    • 新機能:ハンティング機能を追加しました。
    • 改善:セッションタイムアウトの処理を見直しました。
    • 改善:URL にスペースが入っている場合、エラーとなっていたため、mrr 処理前に%20に変換するようにしました。
  • 2017年11月25日 WOWHoneypot Version 1.0 公開

Licence

BSD License

Author

About

簡単に構築可能で、シンプルな機能で動作を把握しやすくした、サーバ側低対話型の入門用 Web ハニーポット。

Resources

Readme

License

BSD-3-Clause license

Stars

76 stars

Watchers

9 watching

Forks

12 forks
Report repository

Releases

No releases published

Packages

No packages published

Languages