セキュリティ系の勉強、その他開発メモとか雑談. GithubはUnity触っていた頃ものがメイン Twitterフォローもよろしくです

今更さくらVPS借りてパニーポット(dionaea)

タイトル通り。
T-Potとかいうdionaeaとかを含んでなおかつログ等もうまい具合に可視化してくれるとかいう高級なものはのちに利用するとして、今回は自分でログとかを見ることを目的にdionaeaを入れます。

VPSを契約する & OS設定

vps.sakura.ad.jp


とりあえずRAM1GB/HDD100GB/2Coreが約1000円/月なのでこれでチャレンジしようかなと思います。2週間お試し無料なのであまりにも重かったら考え直します。(と思ったけど最初の申し込みで2ヶ月先まで支払っているっぽい.)また初期投資で1620円かかりますが、しゃーなし。



てことで、ささっと申し込みをしました。この後どうするんだろうと思ったのですが、私はクレジットで支払ったので15分以内に仮パスワード等のメールが届くとのこと。詳しくは、入門ページでわかりやすく書いてあったのでここを見ました!



とりあえずubuntu14をインストール。PermitRootLoginの設定をいじるとのことでしたが、デフォルトでRootはパスワードでの接続ができない設定になっていた(without-password)のでそのまま。(実際にsshとかでrootログインができなかったはず。)ユーザ名はOSを入れなおすときに表示してあったので覚えておきましょう。それ入門記事はとりあえずは使わないので、目を通すぐらい。


2018/9/7,18:00追記
なんか22番ポートを開けておくのは嫌なので、sshを別ポートで待ち受けようと思います。私はさくらVPSさんのubuntuを使用しているので、sshの設定ファイルが他の人と異なっているかと思います。

# /etc/ssh/sshd_config
Port 2220
...
PermitRootLogin no

それから次の記事(一番下のリンク)で書いているのですが、2220ポートを開けてあげないと接続できません。iptablesの設定ファイルで22ポートを許可している行を2220に変更してしまいましょう。終わったら再起動をかけるなりして変更を適用します。
追記ここまで



動作環境

さくらVPSさんが用意したubuntuを使用しております。

$ cat /etc/lsb-release
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=14.04
DISTRIB_CODENAME=trusty
DISTRIB_DESCRIPTION="Ubuntu 14.04.5 LTS"

$ uname -a
Linux tk2-207-13081 3.13.0-157-generic #207-Ubuntu SMP Mon Aug 20 16:44:59 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux

dionaeaを導入する

ここからは以下のサイトさんを参考にします。
qiita.com
もしくは公式サイトさんのページを参考にしてもok
Installation — dionaea 0.8.0 documentation


#サイトさんより引用
# パッケージアップデート
$ sudo apt-get update
$ sudo apt-get dist-upgrade

# PPAを管理するツールをインストール
$ sudo apt-get install software-properties-common

# Nightly Packageを追加し、キャッシュをアップデート
$ sudo add-apt-repository ppa:honeynet/nightly
$ sudo apt-get update

$ sudo apt-get install dionaea


PPAとはubuntuの非公式リポジトリらしいです。


設定

デフォルトのままで動くらしいです。詳しくは先ほどのサイトで書いてくれているので、わざわざ僕が書き写す必要もないでしょう。けどとりあえず設定ファイルのパスぐらいは載せます。

/opt/dionaea/etc/dionaea/dionaea.cfg

私がとりあえず変更したのは蓄積させるログをdebug以外に設定したことぐらいです。

起動

#dionaeaを起動する
$ sudo service dionaea start

#状態の確認
$ sudo service dionaea status

$停止
$ sudo service dionaea stop

#ログの確認
tail -f /opt/dionaea/var/dionaea/dionaea.log

#攻撃ログの確認
$ sudo tail -f /opt/dionaea/var/dionaea/bistreams

#マルウェア格納場所
$ ls -l /opt/dionaea/var/dionaea/binaries/

操作とか

#自分のポートスキャン
$ nmap <IPアドレス>

#自分のプロセス表示
$ ps alx
$ ps aux

サービスの設定

Service — dionaea 0.8.0 documentation
公式のこのページ通り、サービスごとに色々と設定をいじることができます。

場所は以下です。

$ cd /opt/dionaea/etc/dionaea/services-enabled/

ちなみに、一つ上にihandlers-enabledとかフォルダがあります。


どこに何があるのか全くわからないので、初めはこのサイトさんを参考にしました。文を一部引用させてもらいます。

/opt/dionaea/binaries/
ファイル共有で不正に作成されたファイル.主にマルウェア

/opt/dionaea/bistreams/
このディレクトリの下に,さらに日付のディレクトリが作成されます.日付ディレクトリの中に攻撃者からの通信の記録が残ります.

/opt/dionaea/log/
Dionaea 自体のログです.

/opt/dionaea/rtp/
SIP のセッションデータが記録されます

/opt/dionaea/wwwroot/
Web のドキュメントルートですが,FTP や TFTP のルートディレクトリも兼ねています.なおここに,index.html ファイルを作成しておくと,HTTP 接続時にファイルを指定しなくとも表示されます(例:http://www.example.jp/ のアクセス時に http://www.example.jp/index.html へアクセスしたとみなされる).index.html がない場合はディレクトリリスティングの結果が表示されます.

まとめ

とりあえず動作させるまではすんなりといきましたね。。。と思っていたら重大な欠陥を発見してしまったので、次の記事で書きます!


thinline196.hatenablog.com