vps服务器怎么搭建远程桌面蜜罐?按这七步操作
Linux下的3389终端,是不是很神奇,带着疑问,色牛给出了一篇科普于是也便有了下文.老规矩错误之处欢迎科普交流拍砖~
0×01 目标
MS12-20的洞子最近很火(现在看来是前段时间来得很“蓝”).广大的灰阔都疯狂的开发和测试Exp,当然一个蠕虫Virus也在期望之中.
这促使对于蜜罐来说,所有来自RDP协议和3389端口的工具都会有一个巨大的收获,因为这里有很多有趣的东西.
下面将介绍一个非常简单的在Linux平台上搭建RDP协议蜜罐的方法.但是请注意,我不能确保它是足够安全的,所以我推荐用像Amazon Free EC2那样的vps来搭建,这里没有那些x客们想要的敏感的东西
0×02 相关阅读
Getting a Free AWS Server: samsclass.info/121/proj/pX8-121-AWS.html
SSH Honeypot: samsclass.info/121/proj/pX9-121-AWS-honeypot.html
Packets Captured on My RDP Honeypot:aws.samsclass.info/rdplog.txt
Demonstration of the MS12-20 RDP DoS Attack :samsclass.info/123/proj10/MS12-20-DoS.html
0×03 初始步骤
打开你VPS的SSH服务,连上之后执行以下命令:
sudo yum install gcc make pam-devel openssl-devel vnc-server libtool libX11-devel libXfixes-devel curl tcpdump -y
wget http://sourceforge.net/projects/xrdp/files/latest/download?source=files
tar xzf xrdp-0.5.0.tar.gz
cd xdrp
./bootstrap
./configure
make
sudo make install
sudo /usr/local/sbin/xrdp
你可以看见诸如”Prcess 18076 started ok”的信息.
然后再执行如下命令,检查端口情况:
netstat -an | grep 3389
现在你能看到3389端口是LISTEN状态了
0×04 在防火墙中开放端口
具体操作见Amazon的VPS的帮助文档
https://console.aws.amazon.com/ec2
(这里就不翻译了,因为其实没什么通用性…其他Linux的VPS也是可行的…)
0×05 开始记录数据包
我们用TCPDUMP来记录所有RDP协议封包,以便后续的分析
执行如下命令:
cd
sudo tcpdump tcp port 3389 -i eth0 -vvX >> /var/www/html/rdplog.txt &
敲入回车键你将回到提示符状态
0×06 用NMAP测试蜜罐
安装Nmap的过程略过.主机名扫描等啰嗦的话略过.在Nmap的Result如果成功的话可以看到服务指纹辨别对应3389端口是终端服务.
0×07 查看封包
前面TCPDUMP保存到了Apache的虚拟目录,所以访问网址就可以查看了,现在你可以看到X客对你的终端服务做了些什么了.
ddos攻击教程:怎么增大ddos攻击的效果?
在我们的思维都朝着一个方向走的时候,忽然的转向会让人茅塞顿开。黑客在我眼中就是一群思维习惯不同的人,他们从不朝着同一个方向走,所以你才会被他们发现这么多的漏洞。一把手枪,四颗子弹,你能让子弹同时击
详情2018-01-17 13:31:03责编:llp 来源:驱动管家虚拟桌面是什么?传统桌面和虚拟桌面的区别
桌面就是您在屏幕上看到的所有内容。通常来讲,Windows只有一个桌面,如果你打开非常多的窗口,桌面就会显得纵横交错,杂乱无章,所以你需要更多的桌面。 试想一下,您在你的电脑上接上许多的显示器,这样您或许
详情2018-01-23 20:05:48责编:llp 来源:驱动管家磁盘保护工具 磁盘加密的七种工具
TruCrypt、PGP、FreeOTFE、BitLocker、DriveCrypt和7-Zip,这些加密程序提供了异常可靠的实时加密功能,可以为你确保数据安全,避免数据丢失、被偷以及被窥视。很少有IT专业人士还需要数据安全方面的培训,但是我
详情2018-01-05 16:31:25责编:llp 来源:驱动管家脱壳教程 jdpack如何脱壳?
这是一个加壳软件,软件加壳后可以检测trw及sice,它的1 00版检测到trw或sice时只是提示,到了1 01版,检测到就会出现非法操作 未注册版好像没有时间限制,但是给软件加壳后每次运行就会提示 "Unregistered JDPack Thi
详情2018-01-19 09:35:00责编:llp 来源:驱动管家quicktime是什么?quicktime没有正确地解析图形描述符原子怎么办?
受影响系统: Apple QuickTime Player < 7 4 不受影响系统: Apple QuickTime Player 7 4 描述: Apple QuickTime是一款非常流行的多媒体播放器。 QuickTime没有正确地解析图形描述符(IDSC)原子,如果用户受骗打开了包含有畸形IDSC原子的恶意电
详情2018-01-30 15:58:29责编:llp 来源:驱动管家处理webmail接口漏洞的邮件服务器surgemail
受影响系统: NetWin SurgeMail beta 39a NetWin SurgeMail
详情2018-01-03 09:06:24责编:llp 来源:驱动管家网站域名被劫持了怎么办?网站域名被劫持的预防方法
网站域名被劫持,网站dns被劫持,域名跳转到别的网站怎么解决? 出现网站域名跳转到其他网站,这一现象很可能是域名被劫持。【网站域名被劫持——概念】简单来说,域名劫持就是把原本准备访问某网站的用户,在不
详情2018-01-07 15:53:11责编:llp 来源:驱动管家kindeditor使用教程:Kindeditor全盘浏览的漏洞是怎么造成的?
因为例子很少,开始想了下不是他们的漏洞,后面想了下,后面没有检查好用户的正常配置内容导致,还是提下吧。下载地址:貌似是最新版本的。测试语言:PHP测试漏洞文件: kindeditor php file_manager_json php默
详情2018-01-20 18:57:07责编:llp 来源:驱动管家电脑中了冰河木马病毒有哪些解决方法?
方法一:如果安装了“冰河”服务端的朋友就很简单了。首先在自动扫描中输入自己的IP,看一下扫描结果是否为“OK”,并且左边的“文件管理器”中会出现自己的IP吗?如果有,在“命令控制台”中的“控制类命令”
详情2018-01-28 20:24:52责编:llp 来源:驱动管家嗅探器是什么?嗅探时挂机怎么办?
嗅探器可以窃听网络上流经的数据包。用集线器hub组建的网络是基于共享的原理的,局域网内所有的计算机都接收相同的数据包,而网卡构造了硬件的“过滤器“过识别MAC地址过滤掉和自己无关的信息,嗅探程序只需关闭
详情2018-01-22 12:08:33责编:llp 来源:驱动管家
- 印象笔记好用吗?印象笔记怎么使用?
- 雷电模拟器怎么用?雷电模拟器功能有哪些?
- 戴尔1425系列的笔记本性能怎么样
- 东芝l700笔记本电脑拆机清理灰尘的方法
- 防蓝光有必要吗?靠贴膜防蓝光是行不通的
- 怎么在电脑的系统中直接打开sql文件
- win8电脑出现无线网络受限制或无连接问题的原因都有哪些
- 三星a8电池容量多大?是电池耐用的手机吗?
- 苹果手机丢了怎么定位找回?要先开启定位功能
- 2345好压不记得密码了还能用吗?2345好压怎么破解密码?
- 为什么突然鼠标右键失灵?鼠标右键失灵了怎么办?
- 保护商业机密,企业信息防泄密应该怎么做?
- faceu吐彩虹是怎么做出来的?faceu吐彩虹怎么玩?
- 好分数登录失败是怎么回事?好分数登录不上怎么解决?
- 戴尔vostro1200笔记本的无线网无法打开怎么处理
- 戴尔笔记本电脑想要关闭触摸板应该怎么设置?
- 局域网的无线网络无法连接的问题怎么解决
- linux用户的访问权限限制的方法都有哪些
- 浏览器网页打不开 电脑提示“C盘空间不足”是怎么回事?
- miui v5好用吗?miui v5有哪些亮点?