t-potの解析に少し役立つLinuxコマンドのメモ
ここでは、これまでハニーポットを少しでも理解するために、いろいろ調べてみたLinuxのコマンドや操作方法をメモしておきたいと思います。
ご存知の方からすると、基本的なコマンドばかりかと思いますが、まだ、慣れてないため忘れるのを防止するために…。
【権限昇格】
〇〇$ sudo su -
・この後、特権用のパスワード要求あり
【ファイルの一覧表示】
〇〇$ ls
・このまま実行すると、ファイル名、ディレクトリ名のみ一覧で表示
・オプション[-hl]を付けることで、ファイルの権限や作成日時を確認できる。
〇〇$ ls -hl
【ディレクトリの変更】
〇〇$ cd (指定ディレクトリ)
【gzip(gzファイル)の解凍】
〇〇$ gzip -d -k (ファイル名)
・オプション[-d]を付けることで、 ファイルの解凍を指定する。
・オプション[-k]を付けることで、 元ファイルを消さずに保存する。
・解凍せずに中のファイル名だけを見る場合はオプション[-l]を指定する。
〇〇$ gzip -l (ファイル名)
【tar(tgzファイル)のファイル名を一覧表示】
〇〇$ tar -t -f (ファイル名)
・オプション[-t]を付けることで、ファイル名を一覧表示する。
※ファイルは解凍されない。
・オプション[-f]は、ファイル名を指定するためのオプション
【ファイルの削除】
〇〇$ rm (ファイル名)
【USBメモリのマウント】
〇〇$ mount -t vfat /dev/sdb1 /mnt/usb
【USBへのファイルのコピー】
〇〇$ cp (コピーするファイル) /mnt/usb
【USBメモリのアンマウント】
〇〇$ umount /mnt/usb
【Dockerコンテナの内容確認】
〇〇$ docker exec -it (コンテナ名) bash
※Cowrieのdownloadsファイル(downloads.tgz.9.gz)のようなファイルは、始めにgzipを使用して解凍した後にtarを使用してファイルの中身を一覧表示しなければ、格納されている大元のファイルの一覧を表示できない。
TeraTarmを使用したT-POTへのログイン方法
IPアドレスはT-POTを設置しているPC等のIPアドレス、サービスはSSH、TCPポートは64295を選択する。
次画面のユーザ名、パスワードは、T-POT立ち上げ時に決めたユーザの情報を入力する。
※TeraTarmを使用する目的は、「SSH SCP」機能を使用して楽にファイルの送受信を行うことができるという点である。うまく活用できれば、使い慣れたWindows端末でログの表示を行ったり、ダウンロードされたマルウェアを解析できそうです。
※「SSH SCP」は、最初にログインするユーザの権限でファイルの送受信が行われますので、上記ユーザでログインすると、ほしいファイルが受信できません。
※root権限でログインすればいいのでしょうが、ユーザ名・パスワードともに分かりません…。なにか調べる方法はあると思うのですが…。