送给安全小伙伴们的一份圣诞礼物——opencanary

简单介绍

大家可以先了解一款内网低交互蜜罐叫做opencanary：

opencanary是2015年blackhat在单独发布环节推出的的一款蜜罐工具，纯 python 模拟多种应用和服务。当模拟的服务被某人使用（交互登录）时，它就会产生相应的日志。

视频介绍：https://www.youtube.com/watch?v=lXhypJUbxVM

Github：https://github.com/thinkst/opencanary/tree/master/opencanary

我将opencanary在官方git项目上clone了一份，单独进行了一些改造，把它当做agent客户端；然后自己写了一个管理后台，接收agent发来的日志，进行集中管理；轻量级，没有太多技术栈，任何安全从业人员都可以轻易上手。

项目其实早已放到GitHub上，给几个甲方小伙伴在他们公司内部使用，期间帮忙发现一些坑，影响使用的已经修复。陆陆续续的更新维护，一直没有对外介绍是因为自己对功能还不够满意。

现在第一个大版本的雏形已经完善，再过不久就会详细介绍，并推荐给大家使用。

为了尊重开源软件，我们不会拿开源的项目改改代码结构、函数名字当做是自己的产物，所以它还叫opencanary。

当然opencanary官方除了开源在git上的python代码，他们的thinkst安全团队还有一个商业版本 http://canary.tools，可以自行了解一下，不过国人估计很少人会购买，更何况我们现在有了这个啦~thinkst还有其他非常有价值的项目，也是开源的很有趣。

模拟服务

1. 端口扫描行为

2. ftp登录尝试

3. web蜜罐被访问

4. web蜜罐被登录

5. ssh建立连接

6. ssh远程版本发送

7. ssh登录尝试

8. telnet登录尝试

9. mysql登录尝试

功能截图

蜜罐管理后台登录

dashboard攻击类型图表

蜜罐agent在线状态

攻击列表

告警邮件配置

白名单ip和白名单端口配置

侧边栏