Nepenthes一种运行在linux系统上虚拟蜜罐平台,提供足够的通用Windows服务的仿真技术以欺骗多数自动的攻击,并能自动下载恶意的负载以收集恶意代码样本。
首先要安装Debian操作系统,由于不需要使用到图形桌面X-windows,所以推荐使用Debian-netinst进行网络安装,这个安装镜像只有160MB。具体安装方法可以参考网上的众多教程。值得一提的是,在安装第一步选择语言时,最好选English而不是简体中文,不然安装完控制台会出现乱码,还要调一堆变量才行,这对于不熟悉linux的新手来说还是比较麻烦的。
安装完系统之后先来调整一下网络配置(使用静态IP地址,Debian安装时默认会选择动态ip分配方式):
# nano /etc/network/interfaces
改成类似下面这个样子:
iface eth0 inet static
address 192.168.0.240
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.1
然后在/etc/resolv.conf文件中调整DNS服务器配置。
然后重启网络:
# /etc/init.d/networking restart
# ifup eth0
然后更新一下源
# apt-get update
删除exim4,这个可能会影响honeypot在25端口上的监听
# apt-get remove exim4
安装nepenthes
# apt-get install nepenthes
安装完后修改/etc/nepenthes/nepenthes.conf配置,将不需要的功能注释掉。大概最基本的要留下这几行:
"submitfile.so" "submit-file.conf"
"submitnorman.so" "submit-norman.conf"
"logdownload.so" "log-download.conf"
我另外又留了一行irc记录的功能
”logirc.so” “log-irc.conf”
然后在/etc/nepenthes文件夹里修改上述这几个conf文件。submit-file.conf和log-download.conf文件中可以设置恶意代码和日志存放的位置,
在submit-norman.conf中添加自己的email地址,log-irc.conf中可以设置记录日志所用的IRC服务器地址和频道。这里我在本机上安装了一个IRC服务器端
# apt-get install ircd-irc2
安装完后保持默认配置,启动服务器端
# /etc/init.d/ircd-irc2 start
然后在log-irc.conf文件中将IRC服务器地址和端口改为localhost和6667,频道名为#nepenthes,其他均保持默认。
最后重启nepenthes
# /etc/init.d/nepenthes restart
在另一台机子上装上irc客户端m-irc连入该频道,即可看到实时的log信息。
