Open2023/01/09にコメント追加1

OpenSSHサーバのスニファーを作りました。

Docker

tatsui

SSHのSocks5を踏み台にするような攻撃をlocalhostに誘導します。
サイバー攻撃のリサーチやイントラネット内の探索活動を観測などの用途に使えます。

1. 使い方

git clone https://github.com/phishing-hunter/proxypot/
cd proxypot

設定ファイルをコピー

cp env.template .env 
cp honeypot.yaml.sample docker/common/honeypot.yaml

サーバの起動

$ docker-compose up -d --build httpd sshd telnetd socat

2. 動作確認

踏み台SSHサーバに接続(パスワード: password)

ssh root@127.0.0.1 -p 2222 -D 9050

SSHサーバを経由してifconfig.ioへ接続する

curl -x socks5h://127.0.0.1:9050 http://ifconfig.io

以下のファイルにログが記録されます。

cat /data/sshd-honeypot.local.json
{"asctime": "2023-01-08 17:23:35,467", "src_ip": "172.25.0.1", "dst_ip": "ifconfig.io", "src_port": 60424, "dst_port": 80, "levelname": "INFO", "message": "check_channel_direct_tcpip_request", "command": "", "username": "root", "password": "password", "chanid": 1, "sensor": "honeypot.local"}

1. 使い方

2. 動作確認

3. デモ