Ps:首先感謝下色牛給的一個不錯的科普,想記錄下來的原因是因為在WinEggDrop牛牛的群里看到某神發(fā)了一張圖如下.

Linux下的3389終端,是不是很神奇,帶著疑問,色牛給出了一篇科普于是也便有了下文.老規(guī)矩錯誤之處歡迎科普交流拍磚~
 
From&thx 2 : http://samsclass.info/123/proj10/rdp-honeypot.htm
 
0×01 目標(biāo)
MS12-20的洞子最近很火(現(xiàn)在看來是前段時間來得很“藍”).廣大的灰闊都瘋狂的開發(fā)和測試Exp,當(dāng)然一個蠕蟲Virus也在期望之中.
這促使對于蜜罐來說,所有來自RDP協(xié)議和3389端口的工具都會有一個巨大的收獲,因為這里有很多有趣的東西.
下面將介紹一個非常簡單的在Linux平臺上搭建RDP協(xié)議蜜罐的方法.但是請注意,我不能確保它是足夠安全的,所以我推薦用像Amazon Free EC2那樣的vps來搭建,這里沒有那些x客們想要的敏感的東西 
 
0×02 相關(guān)閱讀
Getting a Free AWS Server： samsclass.info/121/proj/pX8-121-AWS.html

SSH Honeypot： samsclass.info/121/proj/pX9-121-AWS-honeypot.html
Packets Captured on My RDP Honeypot：aws.samsclass.info/rdplog.txt

Demonstration of the MS12-20 RDP DoS Attack ：samsclass.info/123/proj10/MS12-20-DoS.html
 
0×03 初始步驟
打開你VPS的SSH服務(wù),連上之后執(zhí)行以下命令:
sudo yum install gcc make pam-devel openssl-devel vnc-server libtool libX11-devel libXfixes-devel curl tcpdump -y
wget http://sourceforge.net/projects/xrdp/files/latest/download?source=files
tar xzf xrdp-0.5.0.tar.gz
cd xdrp
./bootstrap
./configure
make
sudo make install
sudo /usr/local/sbin/xrdp
 
你可以看見諸如”Prcess 18076 started ok”的信息.
然后再執(zhí)行如下命令,檢查端口情況:
netstat -an | grep 3389
現(xiàn)在你能看到3389端口是LISTEN狀態(tài)了

 
0×04 在防火墻中開放端口
具體操作見Amazon的VPS的幫助文檔
https://console.aws.amazon.com/ec2
(這里就不翻譯了,因為其實沒什么通用性…其他Linux的VPS也是可行的…)
 
0×05 開始記錄數(shù)據(jù)包
我們用TCPDUMP來記錄所有RDP協(xié)議封包,以便后續(xù)的分析
執(zhí)行如下命令:
cd
sudo tcpdump tcp port 3389 -i eth0 -vvX >> /var/www/html/rdplog.txt &
敲入回車鍵你將回到提示符狀態(tài)
 
0×06 用NMAP測試蜜罐
安裝Nmap的過程略過.主機名掃描等啰嗦的話略過.在Nmap的Result如果成功的話可以看到服務(wù)指紋辨別對應(yīng)3389端口是終端服務(wù).

 
0×07 查看封包
前面TCPDUMP保存到了Apache的虛擬目錄,所以訪問網(wǎng)址就可以查看了,現(xiàn)在你可以看到X客對你的終端服務(wù)做了些什么了.

 
來源：http://forums.fedoraforum.org/showthread.php?t=193101