hfish 集群蜜罐搭建

一、前言

    HFish 是一款基于 Golang 开发的跨平台多功能主动攻击型蜜罐钓鱼平台框架系统，为了企业安全防护测试做出了精心的打造

   发布版本下载链接： https://github.com/hacklcx/HFish/releases

   Github: https://github.com/hacklcs/HFish

• 多功能 不仅仅支持 HTTP(S) 钓鱼，还支持支持 SSH、SFTP、Redis、Mysql、FTP、Telnet、暗网等蜜罐
• 扩展性 提供 API 接口，使用者可以随意扩展钓鱼模块 ( WEB、PC、APP )
• 便捷性 使用 Golang 开发，使用者可以在 Win + Mac + Linux 上快速部署一套钓鱼平台

二、集群搭建

1.环境说明：

client01:66.42.68.123（客户端1）

clinet02:144.202.85.37（客户端1）

server:104.156.253.44（服务端）

2.服务端安装与配置

root@server:~#  wget  https://github.com/hacklcx/HFish/releases/download/0.6.4/HFish-0.6.4-linux-amd64.tar.gz

root@server:~# tar zxvf HFish-0.6.4-linux-amd64.tar.gz 

root@server:~# vi   config.ini    #需要将statuse修改为1，后台密码修改为复杂密码，db_str数据库生产环境建议采用mysql远程连接，这里测试用自带的sqlite数据库，API查询和上报的认证密钥可以修改为自己的API key.

只保留 HFish  config.ini web libs (不启动 WEB 蜜罐可以删掉 WEB 目录) 其他皆可删掉

root@client01:~# wget https://github.com/hacklcx/HFish/releases/download/0.6.4/HFish-0.6.4-linux-amd64.tar.gz

然后执行命令启动服务端服务

./HFish run

2.客服端1安装与配置

root@client01:~# tar zxvf HFish-0.6.4-linux-amd64.tar.gz 

只保留 HFish config.ini web libs (不启动 WEB 蜜罐可以删掉 WEB 目录) 其他皆可删掉。

root@client01:~# rm  -rf  admin/   db/    images/     static/

root@client01:~# vi config.ini   #需要将statuse修改为2，addr地址和端口修改为服务器端的IP和端口

然后执行命令启动客服端服务

./HFish run

2.客服端2安装与配置

root@client02:~# rm  -rf  admin/   db/    images/     static/

root@client02:~# vi config.ini   #需要将statuse修改为2，addr地址和端口修改为服务器端的IP和端口

然后执行命令启动客服端服务

./HFish run

3.界面展示：

4.监控脚本

/opt/monitor.sh:

#!/bin/bash
procnum=`ps -ef | grep "HFish"| grep -v grep | wc -l`

if [ $procnum -eq 0 ]; then

    cd /root/HFish && nohup ./HFish run >> output.log 2>&1 &

fi

 crontab -e 

 */1 * * * * sh /opt/monitor.sh        # 写入内容，一分钟执行一次 :wq! # 保存退出即可，请自行检查是否服务器是否启动 crontab 服务

5.黑名单 IP查询

http://104.156.253.44:9001/api/v1/get/ip?key=X85e2ba265d965b1929148d0f0e33133

6.获取全部账号密码信息

http://104.156.253.44:9001/api/v1/get/passwd_list?key=X85e2ba265d965b1929148d0f0e33133

7.获取全部钓鱼信息

http://104.156.253.44:9001/api/v1/get/fish_info?key=X85e2ba265d965b1929148d0f0e33133

8.启动暗网蜜罐

root@server:/opt# apt-get  install tor

 修改配置vi /etc/tor/torrc 文件

HiddenServiceDir /var/lib/tor/hidden_service/           # 添加tor web 目录

 HiddenServicePort 80 127.0.0.1:8080              # 将本机暗网的网站8080端口映射到暗网80端口

重启 torroot

root@server:# service tor restart

查看暗网域名

cat /var/lib/tor/hidden_service/hostname 

访问暗网蜜罐

    访问 Tor 官网: https://www.torproject.org

    下载 Tor浏览器 安装系统对应版本

    启动 Tor浏览器 访问蜜罐 .onion 后缀域名即

9.代理测试方法

在终端上执行以下命令:

http_proxy=http://127.0.0.1:8081 wget -O - http://hfish.io

10.自定义蜜罐添加：

# 修改 config.ini

[pot_name]

status = 1

addr = 0.0.0.0:5901

info = {{addr}} 扫描了该蜜罐

配置参数：

pot_name 蜜罐名称

status 是否启动 蜜罐 1 启动 0 关闭

addr 蜜罐 服务端地址

info 告警内容，**{{addr}}** 可选，写了后会替换为攻击者 IP

11.与威胁情报联动配置

12.web钓鱼

web钓鱼，默认是wordpress模板，可以自定义修改模板如OA或者exchange邮箱

13.邮件告警

如果设置邮箱告警，需要设置正确的账号和密码，这里的密码是为授权码