MHN蜜罐实践（二）

蜜罐实践（二）"/>

MHN蜜罐实践（二）

本博客链接：

本来想着不开新篇了，但这东西问题是在是多！于是新开一篇专写问题排查！

先放一片文章：

1、上篇第四步的设置web

理论上设置这个是为了在其他机器上部署蜜罐时能有效下载并安装部署脚本（即蜜罐终端与蜜罐中心服务器连通），而在实际测试中，设置了该脚本后反而导致蜜罐终端脚本无法安装，不设置反而可以安装。

因此：在机器都互通的情况下可以不设置该脚本（部署MHN的机器和部署蜜罐监听的机器）

2、安装时，将IP地址改为部署MHN框架机器的IP：

wget "http://112.17.78.106/api/script/?text=true&script_id=5" -O deploy.sh && sudo bash deploy.sh http://112.17.78.106 wgZQa8CY
即将其中的IP地址改为部署MHN的机器的IP即可

3、各个蜜罐安装目录：/opt/xxx

经过仔细分析，定制化修改MHN框架意义不大，因为它是中心服务器，它只是用来统计数据的，攻击者是看不到它的。定制化修改需要修改的是各个蜜罐终端，目录见上。

4、二次安装时遇到python initsatabase.py安装的坑爹问题。

解决：找到mhn.db并将其删除！

5、还是安装initdatabase.py的问题：killed

解决：机器内存升级到1G，之前是512MB

6、在导入完规则后，产生如下错误：

[ Debian == Ubuntu ]
install_mhnserver.sh: 76: [: Debian: unexpected operator

解决：修改/opt/mhn/script/install_mhnserver.sh。将其系统的判断规则注释掉，让他直接运行

#if [ $OS == "Debian" ]; thenmkdir -p /etc/nginx/sites-availablemkdir -p /etc/nginx/sites-enabledNGINXCONFIG=/etc/nginx/sites-available/defaulttouch $NGINXCONFIGln -fs /etc/nginx/sites-available/default /etc/nginx/sites-enabled/defaultNGINXUG='www-data:www-data'NGINXUSER='www-data'#elif [ $OS == "RHEL" ]; then
#    NGINXCONFIG=/etc/nginx/conf.d/default.conf
#    NGINXUG='nginx:nginx'
#    NGINXUSER='nginx'
#fi

7、关于安装cowrie不成功的问题

解决：手动添加用户：adduser cowrie（如此即可，不设密码，一路回车），之后重启守护进程：supervisorctl restart

8、安装过程中的N个大坑，安装了2次用了4天时间。其他坑不多说了，说说这个：

在MHN上安装ELK：
这位简直就是大神，真心牛逼（至少在这一个问题上）

9、celery-mhn-beat fatal error

!topic/modern-honey-network/H3LozOk8188

10、celery-mhn-network fatal error

chown www-data /var/log/mhn/mhn.log

11、MHN上未显示数据`

如果正常安装还未显示数据，请开放配置文件中的端口

12、iptables规则设置为开机自启（相结合）

/

13、攻击时间改为本地时间

注意要加到文件最后

14、设置cowrie的SSH密码

网上说的什么data/userdb.txt都不对，根本没有这个。
实际在这里：
/opt/cowrie/src/cowrie/core/auth.py //去修改吧。修改完重启一下服务

15、如果发现出现多个节点启动失败，优先检查mongo是否挂掉了

正常hpfeeds系列的守护进程是不会出问题的，如果它出问题了，可能是其他进程出错连带的

16、修改各蜜罐的配置文件可能（改对了当然不会）会导致蜜罐启动失败，这时候要把配置文件改回来

17、在centOS上部署蜜罐

可以部署并支持MHN的：
dionaea（官方支持）
cowrie（手动支持）
p0f（手动支持）

其他（可能支持，因为底层依赖包太多，解决处理太麻烦，测试了两个太恼人不再试了）

手动支持的，修改一下安装配置文件（apt-get改为yum），对于一些依赖包，进行手动安装（因为包名和ubuntu下的包名不一样，所以需要百度安装方法，主要是找到centOS下对应的包名即可）

18、关于mongodb的问题

不要在蜜罐正常运行的情况下重启机器！！！否则导致mongodb产生各种蛋疼的问题！

解决方案：

（网上大多数是这个，但不适合我）

我的解决方案：

卸载重装，然后启动服务（启动成功那就最好了，但是我一直失败），每次启动都查看/var/log/mongoddb/mongod.log，以此找出错误并手动解决（遇到提示文件或路径不存在都，手动创建），重点关注手动创建的文件或目录的权限，我排查了好久，发现问题在于创建文件的权限上。

19、关于dionaea蜜罐

修改其指纹信息：

/
.html

20、修改节点终端

先cd到数据库目录下
cd /opt/mhn/server打开数据库
sqlite3 mhn.db查询终端信息
select * from sensors;更新蜜罐节点数据
update sensors set Hostname = 'security-miguan-server' where id = 8;

21、这个狗日的坑爹问题

网上的解决办法都是垃圾！

can't load package: package golang/x/net: no Go files in /usr/local/go/src/golang/x/net解决：
在/opt/honeymap/server下，有文件honetmap.go因此，在该目录下，执行：
go build