Aufgezeichnete Cowrie SSH Sessions mit Playlog anzeigen…
Der T-Pot ist quasi das „offizielle“ Honeypot System der Telekom. Bestehend aus (aktuell) 12 unterschiedlichen Honeypots, deployed in 12 Docker Containern. Für unterschiedlichste Szenarien, beinhaltet er unter anderem den bekannten SSH / Telnet Honeypot „Cowrie“. Das Spannende an diesem Honeypot ist es, dass man quasi in „Echtzeit“, die SSH Sessions der Angreifer ansehen kann. Beim „Stand Alone“ Cowrie kein Problem, stellt sich das beim Docker Container etwas umständlicher dar. Aber mit Hilfe von Marco Ochse aka t3chn0m4g3 @ github, hab ich das hinbekommen…
- Anmeldung am T-Pot Host via SSH
- Anmeldung am Cowrie Container
sudo docker exec -it cowrie ash
- Ein Logfile (hier nur ein Beispiel) anzeigen (nur Input)
python3.7 bin/playlog -f -i -m 10.0 -c /home/cowrie/cowrie/log/tty/e200b45a595dea2e065010ec5e7548ccfbc71c2b517e445fd9fd4d3dbe2417cf
Syntax: playlog [-bfhi] [-m secs] [-w file] tty-log-file
-f keep trying to read the log until it’s closed
-m maximum delay in seconds, to avoid boredom or fast-forward to the end. (default is 3.0)
-i show the input stream instead of output
-b show both input and output streams
-c colorify the output stream based on what streams are being received
-h display this help