Setup SSH Jail Using Cowrie HoneyPot on Ubuntu

Cowrie Honeypot adalah aplikasi untuk merecord semua log dari attacker yang mencoba login ke Server kita, HoneyPot dapat membuat seolah - olah attacker login ke Server, padahal si attacker hanya login ke Virtual Environment dari si Cowrie.

Pertama lakukan perubahan port custom SSH kita dari 22 menjadi misal 22022 pada /etc/ssh/sshd_config setelah itu restart service sshd nya # systemctl restart ssh lalu cek status SSH

selanjutnya silakan lakukan update # apt update dan install dependencies nya

# sudo apt-get install git python3-virtualenv libssl-dev libffi-dev build-essential libpython3-dev python3-minimal authbind virtualenv

Selanjutnya tambahkan user cowrie dengan perintah berikut

# sudo adduser --disabled-password cowrie

Adding user `cowrie' ...
Adding new group `cowrie' (1000) ...
Adding new user `cowrie' (1000) with group `cowrie' ...
Creating home directory `/home/cowrie' ...
Copying files from `/etc/skel' ...
Changing the user information for cowrie
Enter the new value, or press ENTER for the default
        Full Name []:
        Room Number []:
        Work Phone []:
        Home Phone []:
        Other []:
Is the information correct? [Y/n] Y

Selanjutnya login dengan menggunakan user cowrie

su - cowrie

Selanjutnya Git Clone # git clone http://github.com/cowrie/cowrie

Kemudian kita harus buat virtual environment dengan python dan cowrie

# cd cowrie
# python3 -m venv cowrie-env
# source cowrie-env/bin/activate

lalu install paket python agar cowrie bisa running

# python -m pip install --upgrade pip
# python -m pip install --upgrade -r requirements.txt

kemudian kita perlu konfigurasi cowrie daemon dengan dengan copy menjadi cowrie.cfg

# cd etc/               
# cp cowrie.cfg.dist cowrie.cfg

Selanjutnya kita akan melakukan configurasi pada environment cowrie,

# nano cowrie.cfg

pada parameter cowrie.cfg kita bisa menyesuaikan seperti nama hostname, telnet, dll sehingga dari sisi attacker akan melihat informasi server berdasarkan konfig dari cowrie.cfg

pastikan telnet sudah dienable juga

pastikan juga untuk listen_endpoints sudah diarahkan ke port 22

apabila sudah silakan save dan exit

kemudian login ke root untuk install authbind

$ sudo apt-get install authbind
$ sudo touch /etc/authbind/byport/22
$ sudo chown cowrie:cowrie /etc/authbind/byport/22
$ sudo chmod 770 /etc/authbind/byport/22

Setelah install authbind selanjutnya login ke user cowrie dan pindah directori ke folder environment cowrie lalu start service cowrie nya

bin/cowrie start

setelah itu kita bisa cek log honeypotnya, untuk log ini akan merekam aktivitas telnet, login, gagal login, dan logout, berikut hasil log pada direktory /cowrie/var/log/cowrie # tail -f cowrie.log

contoh lain jika kita berhasil login ke honeypot cowrie