官方的使用说明有些地方不够详细,对于第一次接触Hfish蜜罐来说,使用者光看官方说明还是不能够快速上手实现想要的需求的(例如自定义的Web钓鱼页面),这里所谓的快速,按理来说,个把小时就搞定所有。
正常的使用说明请参考官方,安装,使用等等….直通车☞当前版本2.4.2
这里还是简单的说一下快速使用。
按照官方的做法,安装好之后,如果想部署蜜罐并启用起来,只需要如下三个步骤:
这三个功能顺序来就行,里面的白话文容易理解。
这里主要讲一些坑的地方以及nginx的配置文件
第一个坑:上传包的格式一定是service-xxxx.zip,压缩包的内容不能参考官方包的service-oa.tar.gz目录结构
默认的web钓鱼蜜罐支持oa和wordpress,直接下载官方对应的蜜罐服务就行,但是想要自定义上传一些登陆页面,就需要自己自定义化,例如自己公司的admin后台,oa系统等等页面….
登陆页面制作还是比较容易的,直接ctrl+s保存你想伪造的后台页面,修改一下页面资源即可,修改登录页面即index.html中form表单的action为/login,用户名表单的name=”username”和密码表单的name=”password”即可。
要想上传自定义的web页面包,还需要先下载官网的
http蜜罐服务,点击更新“更新服务”按钮即可,如下图
要不然你在点击“新增服务”里的”上传自定义web蜜罐服务“,”服务大类“下拉菜单里是看不到WEB服务的。如下图
接下来就是打包,打包这里不能参考官网的tar.gz包里的目录结构。官方对于打包这一块没有过多的详细说明,所以,会有人直接参考官方service-oa.tar.gz,行不通的。这个问题如果不咨询官方人员,估计自己摸索只能到服务器里改文件了,在看不到源码如何实现解包的情况下。
具体的自定义web页面压缩包只需要把已经修改好的伪造页面index.html和对应的静态资源文件压缩即可,名字方面也需要按照官方的标准来,即service-xxxxx.zip,上传后即可。压缩包的目录结构如下:
第二个坑:产生的日志文件会越来越大,没有配置关闭日志功能和删除功能,后续版本估计会有
起了几个web蜜罐服务,每天网络各种扫的流量是真的多,如果服务器资源分配的太少,过一段时间多数会被撑爆,所以记得自己起一个crontab 定时清理两个地方的日志,第一个是hfish目录下的logs目录,这里产生各种蜜罐server对应的日志,第二个是hfish 目录下 tmp/logs/client.log日志,
这里crontab 定时任务如下,每天23点删除和清空一下日志。有时候发现异常或者蜜罐挂了,白天还能翻翻日志看一下。
0 23 * * * rm -rf /root/hfish/logs/server-*
0 23 * * * echo "" > /root/hfish/tmp/logs/client.log关于蜜罐有需要使用nginx配置的,nginx配置如下:
server {
listen 80;
server_name oa.xxxxx.com;
location / {
proxy_pass http://127.0.0.1:9096;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header REMOTE-HOST $remote_addr;
}
}蜜罐自带了证书,但不是ca认证的,没法直接用,所以就没有启用nginx的443。如果想使用免费的https,可以使用Cloudflare。
关于蜜罐后台如果感觉安全性不够,可以使用cloudflare的客户端证书认证功能,来屏蔽公网的垃圾流量访问。或者自己在cloudflare上自定义一个header头作为密钥来访问后台即可。
总的来说,用过那么多个蜜罐,Hfish这个蜜罐还是不错的,具体会不会被别人反日了也有待考证,由于是分开部署的独立服务器,所以也无所谓了。如果实在怕被日,可以使用docker部署。
如果使用的是linux版本部署,记得关闭防火墙。nginx反代web蜜罐时,记得关闭web蜜罐的公网端口。
End。