在VPS上搭建远程桌面蜜罐的方法介绍
程序员文章站
2022-06-22 18:28:52
VPS上搭建远程桌面蜜罐的方法介绍如下... 12-06-28...
ps:首先感谢下色牛给的一个不错的科普,想记录下来的原因是因为在wineggdrop牛牛的群里看到某神发了一张图如下.
linux下的3389终端,是不是很神奇,带着疑问,色牛给出了一篇科普于是也便有了下文.老规矩错误之处欢迎科普交流拍砖~
from&thx 2 : http://samsclass.info/123/proj10/rdp-honeypot.htm
0×01 目标
ms12-20的洞子最近很火(现在看来是前段时间来得很“蓝”).广大的灰阔都疯狂的开发和测试exp,当然一个蠕虫virus也在期望之中.
这促使对于蜜罐来说,所有来自rdp协议和3389端口的工具都会有一个巨大的收获,因为这里有很多有趣的东西.
下面将介绍一个非常简单的在linux平台上搭建rdp协议蜜罐的方法.但是请注意,我不能确保它是足够安全的,所以我推荐用像amazon free ec2那样的vps来搭建,这里没有那些x客们想要的敏感的东西
0×02 相关阅读
getting a free aws server: samsclass.info/121/proj/px8-121-aws.html
ssh honeypot: samsclass.info/121/proj/px9-121-aws-honeypot.html
packets captured on my rdp honeypot:aws.samsclass.info/rdplog.txt
demonstration of the ms12-20 rdp dos attack :samsclass.info/123/proj10/ms12-20-dos.html
0×03 初始步骤
打开你vps的ssh服务,连上之后执行以下命令:
sudo yum install gcc make pam-devel openssl-devel vnc-server libtool libx11-devel libxfixes-devel curl tcpdump -y
wget http://sourceforge.net/projects/xrdp/files/latest/download?source=files
tar xzf xrdp-0.5.0.tar.gz
cd xdrp
./bootstrap
./configure
make
sudo make install
sudo /usr/local/sbin/xrdp
你可以看见诸如”prcess 18076 started ok”的信息.
然后再执行如下命令,检查端口情况:
netstat -an | grep 3389
现在你能看到3389端口是listen状态了
0×04 在防火墙中开放端口
具体操作见amazon的vps的帮助文档
https://console.aws.amazon.com/ec2
(这里就不翻译了,因为其实没什么通用性…其他linux的vps也是可行的…)
0×05 开始记录数据包
我们用tcpdump来记录所有rdp协议封包,以便后续的分析
执行如下命令:
cd
sudo tcpdump tcp port 3389 -i eth0 -vvx >> /var/www/html/rdplog.txt &
敲入回车键你将回到提示符状态
0×06 用nmap测试蜜罐
安装nmap的过程略过.主机名扫描等啰嗦的话略过.在nmap的result如果成功的话可以看到服务指纹辨别对应3389端口是终端服务.
0×07 查看封包
前面tcpdump保存到了apache的虚拟目录,所以访问网址就可以查看了,现在你可以看到x客对你的终端服务做了些什么了.
来源:http://forums.fedoraforum.org/showthread.php?t=193101
linux下的3389终端,是不是很神奇,带着疑问,色牛给出了一篇科普于是也便有了下文.老规矩错误之处欢迎科普交流拍砖~
from&thx 2 : http://samsclass.info/123/proj10/rdp-honeypot.htm
0×01 目标
ms12-20的洞子最近很火(现在看来是前段时间来得很“蓝”).广大的灰阔都疯狂的开发和测试exp,当然一个蠕虫virus也在期望之中.
这促使对于蜜罐来说,所有来自rdp协议和3389端口的工具都会有一个巨大的收获,因为这里有很多有趣的东西.
下面将介绍一个非常简单的在linux平台上搭建rdp协议蜜罐的方法.但是请注意,我不能确保它是足够安全的,所以我推荐用像amazon free ec2那样的vps来搭建,这里没有那些x客们想要的敏感的东西
0×02 相关阅读
getting a free aws server: samsclass.info/121/proj/px8-121-aws.html
ssh honeypot: samsclass.info/121/proj/px9-121-aws-honeypot.html
packets captured on my rdp honeypot:aws.samsclass.info/rdplog.txt
demonstration of the ms12-20 rdp dos attack :samsclass.info/123/proj10/ms12-20-dos.html
0×03 初始步骤
打开你vps的ssh服务,连上之后执行以下命令:
sudo yum install gcc make pam-devel openssl-devel vnc-server libtool libx11-devel libxfixes-devel curl tcpdump -y
wget http://sourceforge.net/projects/xrdp/files/latest/download?source=files
tar xzf xrdp-0.5.0.tar.gz
cd xdrp
./bootstrap
./configure
make
sudo make install
sudo /usr/local/sbin/xrdp
你可以看见诸如”prcess 18076 started ok”的信息.
然后再执行如下命令,检查端口情况:
netstat -an | grep 3389
现在你能看到3389端口是listen状态了
0×04 在防火墙中开放端口
具体操作见amazon的vps的帮助文档
https://console.aws.amazon.com/ec2
(这里就不翻译了,因为其实没什么通用性…其他linux的vps也是可行的…)
0×05 开始记录数据包
我们用tcpdump来记录所有rdp协议封包,以便后续的分析
执行如下命令:
cd
sudo tcpdump tcp port 3389 -i eth0 -vvx >> /var/www/html/rdplog.txt &
敲入回车键你将回到提示符状态
0×06 用nmap测试蜜罐
安装nmap的过程略过.主机名扫描等啰嗦的话略过.在nmap的result如果成功的话可以看到服务指纹辨别对应3389端口是终端服务.
0×07 查看封包
前面tcpdump保存到了apache的虚拟目录,所以访问网址就可以查看了,现在你可以看到x客对你的终端服务做了些什么了.
来源:http://forums.fedoraforum.org/showthread.php?t=193101
上一篇: 纯CSS让子元素突破父元素的宽度限制
下一篇: Linux crontab 调度失败