https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Cowrie 2026-06-29T04:02:57Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=Cowrie&diff=61111&oldid=prev 2025-04-05T09:15:39Z

<p>Die Seite wurde neu angelegt: „=Cowrie= <a href="/index.php/Cowrie" title="Cowrie">Cowrie</a> ist ein moderner, interaktiver SSH- und Telnet-Honeypot. Er simuliert ein echtes Linux-System mit Shell-Zugriff, Dateisystem und Netzwerkbe…“</p> <p><b>Neue Seite</b></p><div>=Cowrie=<br /> [[Cowrie]] ist ein moderner, interaktiver SSH- und Telnet-Honeypot. Er simuliert ein echtes Linux-System mit Shell-Zugriff, Dateisystem und Netzwerkbefehlen. Angreifer können sich einloggen, Befehle ausführen und Dateien hochladen – alle Aktionen werden vollständig aufgezeichnet.<br /> <br /> =Zweck=<br /> *Erkennung und Analyse von SSH- und Telnet-Brute-Force-Angriffen<br /> *Aufzeichnung von Angreiferverhalten (Befehle, Scripte, Malware)<br /> *Forschung, Schulung und Threat Intelligence<br /> *Integration in SIEM-Systeme oder Analyseplattformen<br /> <br /> =Funktionen=<br /> *Vollständige Shell-Emulation mit interaktivem Prompt<br /> *Upload und Download von Dateien (via wget, curl, scp, etc.)<br /> *Logging aller Eingaben, Sessions, IPs, Nutzernamen, Passwörter<br /> *Simuliertes Dateisystem (chroot-artig, konfigurierbar)<br /> *JSON-Log-Ausgabe zur Weiterverarbeitung<br /> <br /> =Installation (Beispiel für Debian/Ubuntu)=<br /> *apt install git python3-virtualenv libssl-dev libffi-dev build-essential<br /> *git clone https://github.com/cowrie/cowrie.git<br /> *cd cowrie<br /> *virtualenv cowrie-env<br /> *source cowrie-env/bin/activate<br /> *pip install --upgrade pip<br /> *pip install -r requirements.txt<br /> <br /> =Start=<br /> *cp etc/cowrie.cfg.dist etc/cowrie.cfg<br /> *./bin/cowrie start<br /> <br /> =Logs und Aufzeichnung=<br /> *Text-Logs: var/log/cowrie/<br /> *JSON-Events: var/log/cowrie/json.log<br /> *Session-Aufzeichnungen (TTY): var/log/cowrie/tty/<br /> *Hochgeladene Dateien: var/lib/cowrie/downloads/<br /> <br /> =Typische Erkennung=<br /> *Brute-Force-Angriffe (z. B. root/root, admin/admin)<br /> *Automatisierte Exploits via Shell-Script<br /> *Dropper, Backdoors, IRC-Bots, Scanner<br /> *Angreifer, die versuchen Systeme zu übernehmen<br /> <br /> =Integration=<br /> *SIEM: Anbindung an [[Wazuh]], [[ELK Stack]], [[Graylog]]<br /> *Weitergabe der Logs über Filebeat, syslog oder REST-API<br /> *Auswertung der Payloads z. B. mit [[Cuckoo Sandbox]]<br /> <br /> =Grenzen=<br /> *Keine echte Shell – Emulation kann bei komplexem Verhalten auffallen<br /> *Angreifer könnten durch Fingerprinting den Honeypot erkennen<br /> *Nicht für High-Interaction-Systeme mit echten Services gedacht<br /> <br /> =Alternativen und Ergänzungen=<br /> *[[OpenCanary]] – Für einfache Dienste wie HTTP, MySQL, Redis<br /> *[[Dionaea]] – Malware-Falle für Windows-Exploits<br /> *[[Tpot]] – Plattform mit Cowrie + ELK + weiteren Honeypots<br /> *[[Canarytokens]] – Für URLs, Dateien, E-Mail-Fallen</div>

Thomas.will