在VPS上搭建遠(yuǎn)程桌面蜜罐的方法介紹

發(fā)布時(shí)間：2012-06-28 15:01:50 作者：佚名

我要評(píng)論

VPS上搭建遠(yuǎn)程桌面蜜罐的方法介紹如下

Ps:首先感謝下色牛給的一個(gè)不錯(cuò)的科普,想記錄下來(lái)的原因是因?yàn)樵赪inEggDrop牛牛的群里看到某神發(fā)了一張圖如下.

Linux下的3389終端,是不是很神奇,帶著疑問(wèn),色牛給出了一篇科普于是也便有了下文.老規(guī)矩錯(cuò)誤之處歡迎科普交流拍磚~

From&thx 2 : http://samsclass.info/123/proj10/rdp-honeypot.htm

0×01 目標(biāo)
MS12-20的洞子最近很火(現(xiàn)在看來(lái)是前段時(shí)間來(lái)得很“藍(lán)”).廣大的灰闊都瘋狂的開發(fā)和測(cè)試Exp,當(dāng)然一個(gè)蠕蟲Virus也在期望之中.
這促使對(duì)于蜜罐來(lái)說(shuō),所有來(lái)自RDP協(xié)議和3389端口的工具都會(huì)有一個(gè)巨大的收獲,因?yàn)檫@里有很多有趣的東西.
下面將介紹一個(gè)非常簡(jiǎn)單的在Linux平臺(tái)上搭建RDP協(xié)議蜜罐的方法.但是請(qǐng)注意,我不能確保它是足夠安全的,所以我推薦用像Amazon Free EC2那樣的vps來(lái)搭建,這里沒(méi)有那些x客們想要的敏感的東西

0×02 相關(guān)閱讀
Getting a Free AWS Server： samsclass.info/121/proj/pX8-121-AWS.html

SSH Honeypot： samsclass.info/121/proj/pX9-121-AWS-honeypot.html
Packets Captured on My RDP Honeypot：aws.samsclass.info/rdplog.txt

Demonstration of the MS12-20 RDP DoS Attack ：samsclass.info/123/proj10/MS12-20-DoS.html

0×03 初始步驟
打開你VPS的SSH服務(wù),連上之后執(zhí)行以下命令:
sudo yum install gcc make pam-devel openssl-devel vnc-server libtool libX11-devel libXfixes-devel curl tcpdump -y
wget http://sourceforge.net/projects/xrdp/files/latest/download?source=files
tar xzf xrdp-0.5.0.tar.gz
cd xdrp
./bootstrap
./configure
make
sudo make install
sudo /usr/local/sbin/xrdp

你可以看見諸如”Prcess 18076 started ok”的信息.
然后再執(zhí)行如下命令,檢查端口情況:
netstat -an | grep 3389
現(xiàn)在你能看到3389端口是LISTEN狀態(tài)了

0×04 在防火墻中開放端口
具體操作見Amazon的VPS的幫助文檔
https://console.aws.amazon.com/ec2
(這里就不翻譯了,因?yàn)槠鋵?shí)沒(méi)什么通用性…其他Linux的VPS也是可行的…)

0×05 開始記錄數(shù)據(jù)包
我們用TCPDUMP來(lái)記錄所有RDP協(xié)議封包,以便后續(xù)的分析
執(zhí)行如下命令:
cd
sudo tcpdump tcp port 3389 -i eth0 -vvX >> /var/www/html/rdplog.txt &
敲入回車鍵你將回到提示符狀態(tài)

0×06 用NMAP測(cè)試蜜罐
安裝Nmap的過(guò)程略過(guò).主機(jī)名掃描等啰嗦的話略過(guò).在Nmap的Result如果成功的話可以看到服務(wù)指紋辨別對(duì)應(yīng)3389端口是終端服務(wù).