Glastopf ist ein Honeypot für Web-Anwendungen. Mit ihm können verschiedene web-basierte Angriffe aufgezeichnet und analysiert werden. In diesem Artikel wird gezeigt wie der Honeypot in einem Docker Container installiert und betrieben wird.
Für den weiteren Verlauf des Artikels wird ein Computer oder Server benötigt auf dem Docker bereits läuft.
Einen schnellen Einstieg bietet die bereits im Git-Repository enthaltene Datei Dockerfile, welche zunächst heruntergeladen werden muss.
$ mkdir -p /tmp/glastopf
$ cd /tmp/glastopf
$ wget https://raw.githubusercontent.com/glastopf/glastopf/master/Dockerfile
Anschließend kann der Befehl
docker buildzum Einsatz kommen um ein neues Image für den späteren Container zu erstellen. Dieser Vorgang kann unter Umständen eine Weile dauern.
$ sudo docker build --rm --tag glastopf .
War die Erstellung erfolgreich wird noch ein Verzeichnis benötigt in dem die Dateien permanent gespeichert werden können, auch wenn der eigentliche Container beendet oder gelöscht wird.
$ sudo mkdir -p /opt/honeypot/glastopf1
Danach wird es Zeit für den ersten Start des Honeypots in einem neuen Container.
$ sudo docker run --rm --publish 80:80 --volume /opt/honeypot/glastopf1:/opt/myhoneypot glastopf
2015-02-16 20:45:12,097 (glastopf.glastopf) Initializing Glastopf 3.1.3-dev using "/opt/myhoneypot" as work directory.
2015-02-16 20:45:12,151 (glastopf.glastopf) Connecting to main database with: sqlite:///db/glastopf.db
2015-02-16 20:45:12,164 (glastopf.modules.handlers.emulators.dork_list.dork_page_generator) Bootstrapping dork database.
2015-02-16 20:45:14,296 (glastopf.modules.handlers.emulators.dork_list.database_sqla) Done with insert of 5096 dorks into the database.
2015-02-16 20:45:14,297 (glastopf.glastopf) Generating initial dork pages - this can take a while.
2015-02-16 20:45:14,352 (pyhpfeeds) connecting to hpfriends.honeycloud.net:20000
2015-02-16 20:45:14,356 (glastopf.glastopf) Glastopf started and privileges dropped.
Anschließend sollte der Honeypot über http://localhost/ abrufbar sein. Mit Hilfe der Tastenkombination Strg. + C kann der laufende Honeypot wieder gestoppt werden.
Nach dem ersten Start und vor den ersten Tests sollte ein Blick in die automatisch erstellte Konfigurationsdatei unter /opt/honeypot/glastopf1/glastopf.cfg geworfen werden. Es ist zu empfehlen die Einstellungen so anzupassen, dass die erfassten Daten von Tests nicht an externe Quellen verschickt werden, da diese sonst die Statistiken stören könnten.
Sind die Test abgeschlossen sollte erneut geprüft werden, ob die erfassten Daten aus dem Live-Betrieb nicht doch auch mit anderen Teilnehmern ausgetauscht werden sollen.
Links
- Webseite: glastopf auf GitHub (englisch)
- Webseite: Docker Dokumentation (englisch)