Amun 0.1.8 & Glastopf rev. 189

Publiziert am 11/10/2009 von duke

Sodele. Auf meinem Server läuft derzeit eigentlich überhaupt gar nix, und da dacht ich mir, installiert ich mal die neusten Versionen der beiden Honeypots.

Amun Version 0.1.8 & Glastopf rev. 189

Die neuste Amun Version kann über die Sourceforge Projektseite geladen werden, die neuste Glastopf über einen simplen Subversion Command “svn co svn://88.198.38.89:9090/branches/unstable”.

Einrichten der neuen Amun Version:

Wie schon in der Anleitung, die ich mal geschrieben hatte, müssen hier eigentlich nur die Konfigurationsdateien verändert werden, welche sich im Unterordner “conf/” befinden.
Ich geh mal nicht genauer auf die amun.conf ein, da dies alles in der Anleitung steht.

Wenn das erledigt ist, kann wie gewohnt per amun_server.py gestartet werden.

Einrichten des neuen Glastopfes:

Hier finden wir die Config auch im Unterordner “conf/”. Die glastopf.cfg ist hierbei die Hauptkonfiguration.

Dort können wir jetzt unter “ip” und “port” angeben, unter welcher IP und auf welchem Port der Glastopf lauscht, falls dem Server mehrere IPs zugeteilt sind.
Bei dem Plugins-Abschnitt kann man jetzt dynamisch Plugins dazufügen, wie man es bei Amun gewohnt ist. Im MySQL Abschnitt kommen die Zugangsdaten für die MySQL DB rein.
Unter Misc kann man eine eigene Fakeseite angeben, den Whois Server und ob der neue oder der alte Parser verwendet werden soll.

Die weiteren Abschnitte sollten sich dann auch von alleine erklären.

Schön finde ich die IRC und die Twitter Funktion. :)

Post to Twitter

Veröffentlicht unter Allgemein | 2 Kommentare

Kennt ihr schon den neuen Virenprkschtz?

Publiziert am 24/09/2009 von duke

Gestern von nem Kollegen drauf aufmerksam gemacht geworden… und ich muss sagen, ich hab schon lang nicht mehr so gelacht. Eigentlich sollte man ja über sowas nicht lachen, aber entweder tut der Ersteller des Videos einfach nur so doof und will seinen Virus wirklich mit dem gescheiterten Versuch verbreiten oder er ist es wirklich. Aufjedenfall sollte er mal überlegen, sich bei einem Logopäden vorzustellen. Wirklich. Aber hey, das Video made my day. Danke dafür, an den Ersteller. :)


Schon am wundern, warum ich mal wieder wenig blogge? Liegt wohl daran das ich in letzter Zeit eigentlich den ganzen Tag nur am Diablo 2 zocken bin. Hachja, das Spiel ist so alt, aber trotzdem verfällt man es. Mal sehen, vielleicht blogg ich mal irgendwas über das Spiel.

Post to Twitter

Veröffentlicht unter Allgemein, Die Welt | Verschlagwortet mit | 2 Kommentare

Three Strikes Regelung für Politiker?

Publiziert am 23/08/2009 von duke

Heute bin ich über einen schönen Beitrag auf fefe’s Blog gestoßen. => http://blog.fefe.de/?ts=b4713e43

Fefe hatte eine Petition an den Petitionsausschuß gereicht, die interessante Dinge beinhaltet:

Wir erinnern uns: Vor einiger Zeit wurde in Frankreich eine Three Strikes Regelung durchgeboxt. Diese bestimmt, dass Filesharer nach dem ersten Verstoß angeschrieben werden, nach dem zweiten eine Mahnung bekommen und nach dem dritten wird der Internetanschluß gekappt. Allerdings darf dieser noch schön weiter bezahlt werden, bis zum Vertragsende.

Daher kam also die Idee zu dieser Petition. Warum nicht sowas für Politiker einführen? Wenn ein Politiker versucht 3 mal für ein verfassungswiedriges Gesetz zu stimmen, fliegt er einfach ganz simpel raus. Finde ich sehr gut. Wer weiß wieviele Politiker dann wohl vom Bild verschwinden würden? Zensursula… Schäuble… und wie die noch so alle heißen.

Die Petition selber wurde leider abgelehnt. War ja auch irgendwie nicht anders zu erwarten. Naja, Fefe möchte damit eine Diskussion anfechten, wie man den Fraktionszwang bei Politiker loswerden kann.

Den gesamten Petitionsvorschlag gibt es hier: http://ptrace.fefe.de/petition.txt

Wer aber zu faul zum lesen ist, dem gebe ich hier mal einen kleinen Überblick, was dort so drin steht:

Der Deutsche Bundestag möge beschließen: Abgeordnete, die dreimal für
ein später vom Bundesverfassungsgericht als (ganz oder in Teilen)
verfassungswidrig eingestuftes Gesetz stimmen, werden wie folgt
sanktioniert:
  a) Verlust des Mandates, des Sitzes im Parlament und der
     Leistungsansprüche für diese,
  b) Verlust des passiven Wahlrechts für diese und die nächste
     Legislaturperiode.
Ein so verfallener Sitz bleibt leer. Eine Neubesetzung findet in der
laufenden Legislaturperiode nicht statt.

Als Begründung wird hierbei folgendes angegeben:

Abgeordnete im Bundestag sind laut Art 38 GG bei Abstimmungen nur ihrem
Gewissen verpflichtet.  In der Praxis richten sich Abgeordnete aber
hauptsächlich nach der Vorgabe der Fraktion, die in Ausschüssen oder auf
Fraktionssitzungen ausgehandelt wurde.

Weiterhin erfährt man:

Das eigentliche Ziel ist die Abschaffung des "Fraktionszwangs".  Da
dieser aber offiziell nicht existiert, droht diese Petition Abgeordneten
mit persönlichen Konsequenzen, wenn sie für ein verfassungswidriges
Gesetz stimmen.  Gesetze müssen so geschrieben werden, dass sie klar
verfassungsgemäß sind, nicht dass sie haarscharf an die Grenze oder gar
darüber hinaus gehen.

Nun denn. Schade das aus der Petition nichts wurde. Aber hoffentlich bringt es etwas, manchen mal zum denken zu überreden oder ins Gewissen zu reden.

Achja. Man sieht mal wieder, wie toll doch die CDU ist. In Rinteln wurden 6 Plakate der Piratenpartei mit Plakate der Senioren Union überklebt. Unfassbar und dreist sowas. Damit kann man sich natürlich noch unbeliebter machen, als man schon ist. Bilder gibt’s hier => http://www.spitblog.de/2009/08/21/cdu-ueberklebt-plakate-der-piraten/

Falls du nicht weißt, was die Piratenpartei überhaupt ist, bist du hier gut aufgehoben. => http://www.piratenpartei.de/

Post to Twitter

Veröffentlicht unter Politik | Hinterlasse einen Kommentar

Mein neues Botnetz!

Publiziert am 20/08/2009 von duke

Nach langer Inaktivitätszeit melde ich mich hier mal wieder zurück. Immerhin schon wieder über nen Monat kein neuer Eintrag gewesen.

Liegt wohl damit zusammen, dass ich mich in letzter Zeit weniger mit Sicherheitsthemen beschäftige, sondern eher ein wenig mehr mit Politik und anderen Sachen im Leben.
Wie ihr bemerkt, hab ich das Design des Blogs mal wieder geändert, so das es ein wenig mehr nach Web 2.0 ausschaut. Ich werde mich auch in nächster Zeit weniger mit Sicherheitsthemen beschäftigen und den Blog sozusagen in einen allgemeinen Blog umbauen. Ab und an mal was über Politik, ab und an mal was über Programmierung, ab und zu mal was aus meinem Leben und ein wenig Sicherheitskram. :]

Meine Projekte werde ich auch neu organisieren, so sieht es aus, dass das Amun log_irc Modul komplett abgebrochen wird. Die Cyberhackers Geschichte wird demnach mit einer ganz neuen Geschichte ersetzt, die ich auch schon angefangen habe und eventuell auch plane später als Buch zu veröffentlichen. Weitere Projekte werd ich dann vorstellen, wenn die Zeit reif ist.

Und was geht sonst so in der Welt? Als ich heute gegen 17 Uhr aufgestanden bin und erstmal runter in die Küche bin, funkelte mich ein Brief an.

“Juche!”, dacht ich mir. Jetzt schickt mir schon die CDU Post. Nach kurzem überlegen, ob ich den Brief nicht gleich zerreiße und verbrenne, hab ich ihn dann einfach mal geöffnet und geschaut ob man nicht ein wenig lachen kann.

Der Inhalt vom Brief war schlicht, ein Prospekt zur Jungen Union und ein Brief, der sogar persönlich an mich gerichtet war mit der Aufforderung wählen zu gehen.

Gut, ich muss zugeben, was im Prospekt steht hört sich ja ganz vernünftig an. Dennoch, verabscheue ich alles was mit CDU und SPD zu tun hat, aus bestimmten Gründen, die soweit jeder kennen sollte. Nun denn, ich finde, hier sollte sich mal ein Pirat als Bürgermeisterkandidat aufstellen lassen. Der Brief von der Jungen Union wird dann aufjedenfall demnächst einfach im Abfall landen. Die Bürgermeisterwahl geht mir sowieso am A**** vorbei, also was solls? Laut Wikipedia sind bei der Komunalwahl jedenfalls folgende Parteien wählbar:

CDU, SPD, Grüne, FDP,
Die Linke, ödp, DKP, DVU,
REP, NPD, ZENTRUM, GRAUE,
STATT, HP, LD, AMP,
Bürgerbewegung pro NRW, DSP,
FAMILIE, FAKT, Die Tierschutzpartei,
ÖkoLi, Offensive D, PBP

Und da man anscheinend die Piraten nicht wählen kann, werd ich entweder überhaupt nicht wählen oder einfach zufällig mein Kreuz setzen. Solang ich dabei nicht die CDU oder SPD oder rechtsradikale Parteien stärke, ists mir recht. Vielleicht sind die Grünen ja wählbar…

Aufjedenfall prangt vor meiner Haustür am Laternenmast ein abartiges SPD Plakat und auf der anderen Straßenseite genau das Gleiche.

Kann man wohl nichts machen. Muss man mit leben, auch wenn ich das Teil liebend gern brennen sehen würde. Wenn ich mich dabei nur nicht strafbar machen würde. :/

Post to Twitter

Veröffentlicht unter Allgemein, Die Welt, Politik | Hinterlasse einen Kommentar

Trauer um das Freie Internet Deutschlands

Publiziert am 11/07/2009 von duke

Endlich haben wir’s vollbracht. Deutschland entwickelt sich langsam aber sicher zu einem totalen Überwachungsstaat, man könnte auch meinen das geheime Anhänger der Stasi rumschwirren und diese Politik erneut wieder aufbauen wollen. Aber naja, verschaffen wir uns doch mal einen kurzen Überblick darüber, was Deutschland jetzt schon alles für seine gläserne Bürger tut.

Auf der einen Seite haben wir die Vorratsdatenspeicherung, welche besagt das deutsche ISPs sämtliche Daten der Kunden, also Wer, wann mit wem telefoniert hat und wie lange das  Gespräch dauerte oder wann Kunde X sich wo ins Internet eingeloggt hat. Und hey, schlaue CDU Politiker sprachen sogar zwischenzeitlich schonmal davon das man das gesamte Surfverhalten der Nutzer aufzeichnet. Wuhuuu. Weitere Informationen zur Vorratsdatenspeicherung gibt’s hier => http://www.vorratsdatenspeicherung.de/content/view/46/42/lang,de/

Das zweite, was vor kurzem erst in den News stand ist, dass die deutsche Polizei nun der USA Zugriff auf ihre Akten gibt. Sehr schön, jetzt flattern unsere Daten also noch in der USA rum. Auch wenn man meint, Deutschland hätte volle Kontrolle darüber und könnte den Amerikanern sagen, sie sollen die Akten löschen, wer ist sich sicher, dass sie es auch tun?

Und zu guter letzt, das tollste der 3 neuen Gesetze. INTERNETZENSUR. Sind wir denn hier in China?
Ursula “Zensursula” von der Leyen hatte eines Tages eine brilliante Idee! Warum nicht einfach geile Sperren einführen um Milliarden, wenn nicht sogar alle Kinder dieser Welt vor Vergewaltigung zu schützen. Oh super. Nur der Haken ist, es wird KEIN Kind geschützt. Im Grunde ist das Gesetz sinnlos. Es sperrt vielleicht Kinderpornographische Inhalte auf DNS Basis, allerdings kann jeder User, der sich ein wenig auskennt diese mit Leichtigkeit umgehen. Was man hier sieht, sind einfach nur Argumente um eine Basis für Internetzensur zu schaffen. Und warum nicht einfach Kinderpornographie als Hauptargument nehmen? Passt ja perfekt dazu und wird dazu noch von jedem verächtet. Doch wird es so sein, dass in absehbarer Zeit definitiv auch andere Seiten, die KEINEN Kinderpornographischen Inhalt vorweisen auf den Sperrlisten stehen. Aber hey, laut Zensursula schadet das ganze Internet ja den Kindern dieser Welt. Nun, okay. Mal sehen wann die deutsche Zensurliste auf Wikileaks zu finden ist. Aufjedenfall bin ich oben an der Decke, wenn ich merke, dass unschuldige Webseiten, die nichts mit Kinderpornographie zu tun haben gesperrt sind. => http://www.heise.de/newsticker/Gesetz-zu-Web-Sperren-passiert-den-Bundesrat–/meldung/141849

Aber wartet mal, ihr Politiker.

Wieso sperrt ihr den ganzen Kram überhaupt nur? Wäre es nicht sinnvoller diesen zu löschen? Typisch.


LÖSCHEN STATT SPERREN. STOPPT DIE INTERNETZENSUR.

Post to Twitter

Veröffentlicht unter Allgemein, Die Welt | Verschlagwortet mit , , , , | 2 Kommentare

Glastopf: Top 20 Attacker – Mai

Publiziert am 18/05/2009 von duke

Hallo,

ich wollte heute nochmal einen kleinen Statistiküberblick über den Glastopf geben.

Hier gezeigt, sind die Top 20 Attacker. Man sieht schön, wie versucht wird über einfache Sicherheitslücken das System zu kompromittieren.
Auch erstaunlich ist, dass ein Attacker es über 60 mal versucht hat.

IP Req Count
121.173.130.xxx /index.php?mosConfig_absolute_path=XXX?? 60
74.81.88.xxx /index.php?pagina=XXX?? 35
217.18.76.xxx /index.php?mosConfig_absolute_path=XXX?? 31
75.127.70.xxx /index.php?_SESSION%5bdocroot_path%5d=XXX?? 30
72.52.230.xxx /index.php?DOCUMENT_ROOT=XXX???? 29
24.39.162.xxx /index.php?DOCUMENT_ROOT=XXX???? 27
194.181.2.xxx /index.php?noSet=0&%3bincludedir=XXX????? 26
116.50.163.xxx /index.php?appserv_root=XXX? 23
87.107.86.xxx /index.php?DOCUMENT_ROOT=XXX???? 22
70.86.169.xxx /index.php?appserv_root=XXX???? 22
85.214.24.xxx /index.php?error=XXX??? 22
202.75.4.xxx /index.php?error=XXX?? 22
121.165.73.xxx /index.php?nuseo_dir=XXX??? 21
190.144.44.xxx /index.php?noSet=0&includedir=XXX??? 20
80.231.93.xxx /index.php?path_to_bt_dir=XXX???? 19
145.253.245.xxx /index.php?error=XXX?? 19
67.220.201.xxx /index.php?config%5bppa_root_path%5d=XXX??? 19
207.58.185.xxx /index.php?alpath=XXX??? 17
212.59.11.xxx /index.php?rootdir=XXX?? 16
77.221.130.xxx /index.php?autoLoadConfig%5b999%5d%5b0%5d%5bautoType%5d=include&autoLoadConfig%5b999%5d%5b0%5d%5bloadFile%5d=XXX??? 16

Wirft man einen Blick auf die Victims, sieht man, dass dort diverse Freehoster genutzt werden, aber auch einige kompromittierte Server wie eine Pornoseite “sexclusiv.eu” oder eine polnische BMW Fanseite “bmw-center.com.pl“. Aber auch deutsche Server sind unter den Victims. So findet man hier eine private Webseite die nicht mehr gepflegt wird “dirk-gerber.de” oder ein Ärzte Netzwerk “aene.de“. Ich find es erschreckend, dass sich niemand um seine Server kümmert und auch mal einen Blick durch den Webspace fliegen lässt. Theoretisch sollten einen doch unbekannte Dateien auffallen?

Post to Twitter

Veröffentlicht unter Allgemein | Verschlagwortet mit , , , | 1 Kommentar

Glastopf: Statistiken

Publiziert am 07/05/2009 von duke

Seit einiger Zeit habe ich einen Glastopf Honeypot am laufen. Bislang hat dieser über 1400 Daten gesammelt. Ich wollte hier jetzt nur einen kurzen Überblick geben, was am meisten in ungesicherte Webapps inkludiert wird. Gescannt wurden die Files mit ClamAV.

Glastopf Stats - 07.05.09

(Für eine größere Darstellung draufklicken)

Wie man dort schön sehen kann, werden meistens PHP Bots in Form von pBots oder ähnlichen Bots inkludiert. Auch PHP Shells sind sehr beliebt.
Insgesamt wurden 1400 Dateien gescannt, wovon 907 davon von ClamAV als Bedrohung angesehen wurden. Ich gehe aber von aus, dass der Großteil der restlichen Dateien ebenfalls Bots, Shells  o.Ä. Sachen sind.

Wenn jemand Interesse an den gesammelten Bots, Shells usw. hat, mag er mich bitte kontaktieren. (Bitte Grund dazu schreiben, WIESO du unbedingt die Daten möchtest. ;) )

Post to Twitter

Veröffentlicht unter Allgemein | Verschlagwortet mit , , , , , , | 5 Kommentare

Frühjahrsputz

Publiziert am 31/03/2009 von duke

Guten Morgen.

Ich hab dem Blog jetzt mal nach einen paar Monaten wieder ein neues Design verpasst, da mich das alte anödete. Ich fand es einfach zu dunkel. Das neue hier ist schön hell, vermittelt einen tollen Eindruck und ich hoffe das es mich nicht wieder so schnell anöden wird. :]

Die Sidebar ist ein wenig aufgeräumt worden und mal schauen, was ich demnächst noch so anpassen kann. Eventuell noch eine Übersetzung des Themes ins deutsche.

Wie gehts sonst weiter? Die Projekte, die ihr im Sidebar Widget seht, sind derzeit alle auf Pending oder Auf Eis. Liegt wohl daran, dass ich mir derzeit erstmal klar werden muss, welche Projekte noch sinnig sind, an welchen ich noch Lust habe usw. Was IRCbm angeht, glaube ich das es nicht mehr allzuviel Sinn macht, solch eine Applikation zu schreiben. Mit dem Infiltrator hat man hier schon eine Lösung in Python vorgestellt bekommen. Auch wenn ich ihn noch nicht getestet hab, aber ich denke er wird seine Arbeit verrichten. Falls man wirkliche Interesse an einem bestimmten Netz hat, kann man dieses auch manuell beobachten.

log_IRC hierbei werde ich wohl wieder aufnehmen, allerdings tendiere ich dazu das Twisted Framework für den IRC Part zu nutzen. Ich mag anmerken, das die aktuelle log_IRC Beta NICHT mit Amun v 0.17 funktioniert. Sollte das ganze gut funktionieren, werde ich es wahrscheinlich noch für den glastopf portieren.

Außerdem bin ich noch am überlegen, welche weiteren logging Module einen Sinn ergeben würden. Nun noch zu der Cyberhackers Geschichte. Auch wenn da bisher noch nicht wirklich etwas veröffentlicht wurde und der Blog auch derzeit offline ist, das ganze ist nicht tot. Derzeit fehlt mir nur die Motivation, der Ansporn und eine vernünftige Idee dafür. Ansätze für den Prolog sind bereits vorhanden und sofern ich mehr Lust am schreiben habe, werde ich den Blog wieder online setzen und das ganze veröffentlichen.

So, einen schönen Dienstag wünsche ich. Ihr werdet in ein paar Tagen wieder von mir hören.

Rennmäuschen :]

Post to Twitter

Veröffentlicht unter Allgemein, Die Welt | Verschlagwortet mit , , , , , | Hinterlasse einen Kommentar

HowTo: Set up an Amun Honeypot

Publiziert am 15/03/2009 von duke

Hello.

Some days ago I wrote a tutorial for the installation of an amun honeypot. I now made the translation for non german-speaking people. I’m sorry if my english isn’t that good. But I think you will understand the most things clearly.

Ahead: I will explain this whole tutorial with the current version of the amun honeypot, version 0.1.7. As testsytem I used debian linux 5.0 (Lenny). You should be ready in dealing with basic linux commands and meanings.

What do you need?

First of all, you need a working hostsystem. You may want to rent a small vServer or build a homeserver. Be aware that you need more IP addresses if you want to run more networking services on the server, because amun honeypot will use a lot of ports for his vuln modules. You may first remove or stop all networking services that could interrupt amun honeypots vuln modules to use the ports. (eg. webserver, ftp, mail…)

Amun is written in an interpreted language, called Python. If the interpreter isn’t installed, you can install it with:

$ su -
$ apt-get install python

You also need the psyco module for python. It should be located in the debian repository and can be installed with:

$ su -
$ apt-get install python-psyco
$ exit

At least you need the main program, the amun honeypot. Grab your copy at: http://sourceforge.net/project/platformdownload.php?group_id=221628

if you wanna use submit-mysql or log-mysql, you will also need to grab the MySQLdb module for python. If you want log-surfnet, youhave to install psycopg2.

Preparations & Configuration

You have a fresh Debian system with an installed python interpreter and also python-psyco.
Creatae a new user “amun” and su into him. Go in your home directory and download the current amun version with wget. Extract the tar.gz archive and go in that folder. You will find other subdirectorys like config/, log-modules/ and so on. Before we proceed with the configuration of the honeypot, we should give the system the order to start the honeypot, whenever the system will boot. Therefore we need a small startscript:

#!/bin/sh
# Amun Honeypot Startscript

# path to amun server
amuncommand=”/usr/bin/env python /home/amunserver/amun/amun_server.py”

case “$1″ in
start)
echo -n “Starting Amun Honeypot… ”
start-stop-daemon –start –quiet –pidfile /var/run/amunserver.pid –make-pidfile –background –exec $amuncommand
echo “done.”
;;
stop)
echo -n “Stoping Amun Honeypot… ”
start-stop-daemon –stop –quiet –pidfile /var/run/amunserver.pid
echo “done.”
;;
*)
echo “Usage: /etc/init.d/amun {start|stop}”
exit 1
;;
esac

In the variable amuncommand enter the path to your amun_server.py along with the pythonenviroment. Save the script among /etc/init.d/amun.
Now you can start and stop amun with /etc/init.d/amun {start|stop}.

Now we just have to fit it into the bootable programs.

$ su -
$ update-rc.d amun defaults
$ exit

Done. For now on, your honeypot will start along with the system.

Go back in the folder, where your honeypot is located. Proceed to the conf/ directory. First we will customize the amun.conf. Open it with your preferred text editor.

### define the amun server ip
ip: 0.0.0.0

If you have more IP addresses within your server, you can enter the address what amun should use, otherwise it will listen on ALL addresses.

### define submission modules
submit_modules:
submit-md5,
# submit-anubis,
# submit-cwsandbox,
# submit-joebox

If you want to submit your malware to several sandbox services, delete the # from submit-anubis and/or submit-cwsandbox and/or submit-joebox.

### define logging modules
log_modules:
# log-surfnet

Here are the logging modules. Standard you will only have the log-surfnet module, commented out. Optionally you can add the log-blastomat, log-mail, log-mysql and log-syslog. But I won’t be able to explain these modules, because I haven’t yet worked with them. But it should be easy to us them, because everything needful is commented in the configuration files of the modules.

You don’t have to change anything under the section vuln_modules. If you are behind a router or a firewall, you have to look at the ports and forward them in your firewall, otherwise you won’t get any attacks on your honeypot. The easiest thing is to open a DMZ (Demilitarized Zone).

Now we come to the submit modules.

### define the email address reports should be sent to
### (set to None if only logging to submission.log should be enabled)
reportToEmail: None

Replace the None with one of your e-mail addresses to get the logs sent to them. (Be aware that you will get MANY reports sent to your e-mail, so you should use an extra box.)
You will do this with all 3 submit modules, if you use all 3.

Now, we are done. You could proceed with configure the log modules, but as said upper, I haven’t used them much.

Have fun with your fresh installed amun honeypot.

Post to Twitter

Veröffentlicht unter Allgemein | 1 Kommentar

Tutorial: Aufsetzen eines Amun Honeypots

Publiziert am 08/03/2009 von duke

(Update @ 15. März – Kleinere Bemerkung zu Firewalls/Router hinzugefügt.)

Hallo.

Ich wollte heute einmal erklären, wie man sich einen Amun Honeypot auf einem Linux System installiert. (Getestet wird hier in einer VM mit Debian 5.0 Lenny)

Vorneweg: Ich erkläre das ganze anhand der aktuellen Amun Version 0.1.7, da mir das am sinnvollsten erscheint. Vorraussetzungen für die erfolgreiche Einrichtung sind Basiskenntnisse im Umgang mit Linux, besonders Debian Systemen.

Was benötigt man dafür?

Als allerstes natürlich ein funktionierendes Hostsystem. Hierbei empfiehlt sich ein kleiner vServer, den man dann ausschließlich nur für den Honeypot verwendet. Oder alternativ auch ein kleiner HomeServer. Extra einen teuren Rootserver würde ich dafür nicht kaufen.

Dazu basiert Amun auf der Python Skriptsprache. Sollte der passende Interpreter noch nicht installiert sein, könnt ihr diesen sehr einfach nachinstallieren:

$ su -
$ apt-get install python

Desweiteren braucht Amun noch die Psyco Erweiterung für Python, welche ebenfalls im Debian Repository zu finden sein sollte.

$ su -
$ apt-get install python-psyco
$ exit

Und zu guter letzt noch den eigentlich Amun Honeypot, welcher hier zu finden ist: http://sourceforge.net/project/platformdownload.php?group_id=221628

Möchtet ihr submit-mysql oder log-mysql nutzen, wird außerdem noch MySQLdb benötigt. Wenn ihr log-surfnet nutzen möchtet, wird psycopg2 genutzt.

Vorbereitungen & Konfiguration

Ihr steht jetzt vor eurem frischen Debian System und habt Python und Python-Psyco installiert. (Falls die beiden Module genutzt werden, auch die anderen Pakete.)
Legt einen neuen User “Amun” an und meldet euch mit diesem an. Geht in das Homeverzeichnis des Users und ladet euch per wget die aktuelle Amun Version.
Extrahiert das tar.gz Archiv und begeht euch in den Ordner. Ihr findet weitere Unterordner wie config/, log-modules/ usw. vor. Doch bevor wir uns der Konfiguration widmen, werden wir dem System erstmal sagen, das Amun beim Systemstart mitgestartet werden soll. Dazu benötigen wir ein kleines Startscript:

#!/bin/sh
# Amun Honeypot Startscript

# path to amun server
amuncommand=”/usr/bin/env python /home/amunserver/amun/amun_server.py”

case “$1″ in
start)
echo -n “Starting Amun Honeypot… ”
start-stop-daemon –start –quiet –pidfile /var/run/amunserver.pid –make-pidfile –background –exec $amuncommand
echo “done.”
;;
stop)
echo -n “Stoping Amun Honeypot… ”
start-stop-daemon –stop –quiet –pidfile /var/run/amunserver.pid
echo “done.”
;;
*)
echo “Usage: /etc/init.d/amun {start|stop}”
exit 1
;;
esac

exit 0

In der Variable amuncommand gebt ihr den Pfad zum amun_server.py, samt Pythonumgebung an. Speichert das Script als amun unter /etc/init.d/amun ab.
Nun könnt ihr Amun jederzeit per /etc/init.d/amun {start|stop} starten oder stoppen.

Jetzt müssen wir dem System noch sagen, er soll es bei jedem Systemstart starten.

$ su -
$ update-rc.d amun defaults
$ exit

Fertig. Ab sofort startet Amun jedesmal beim booten des System mit. Endlich können wir mit der Konfiguration des Amun Honeypots beginnen.

Geht wieder in das Verzeichnis, wohin ihr den Amun Honeypot entpackt habt. Dort cd’t ihr in das conf/ Verzeichnis.
Passen wir jetzt zuerst einmal die amun.conf an. Dazu öffnet ihr diese mit einem beliebigen Editor. (vim oder nano)

### define the amun server ip
ip: 0.0.0.0

Dort könnt ihr, falls der Server mehrere IP Adressen besitzt eine von diesen eintragen, oder per 0.0.0.0 einfach auf allen Adressen horchen lassen.

### define submission modules
submit_modules:
submit-md5,
#    submit-anubis,
#    submit-cwsandbox,
#    submit-joebox

Solltet ihr eure Malware an verschiedene Sandbox-Dienste schicken wollen, nehmt die # vor submit-anubis und/oder submit-cwsandbox und/oder submit-joebox weg.

### define logging modules
log_modules:
#    log-surfnet

Hier sind die logging Module. Standard steht hier nur das log-surfnet Modul auskommentiert drinne. Hier könnt ihr noch nach belieben log-blastomat, log-mail, log-mysql und log-syslog adden. (Auf die Konfiguration dieser Dienste gehe ich aber nicht weiter ein.)

Unter den vuln_modules usw. braucht ihr nichts verändern. Solltet ihr allerdings hinter einem Router oder einer Firewall sitzen, müsst ihr diese Ports die bei den vuln_modules angegeben sind dort forwarden, da euer Honeypot sonst keine Angriffe erhalten kann. (Wie auch, wenn der “Zutritt” zum System nicht gewährt ist? :p)
Als einfachste Methode empfiehlt sich hier einfach eine DMZ für den Server zu öffnen.

Schauen wir uns jetzt die Konfiguration der submit Module an.

### define the email address reports should be sent to
### (set to None if only logging to submission.log should be enabled)
reportToEmail: None

Ersetzt das None mit einer eurer E-Mail Adressen um die Logs an diese E-Mail geschickt zu bekommen. (Achtung, nutzt ein extra Postfach für die Logs, da es sehr viele werden.)
Dies tut ihr in allen 3 submit Modulen, falls ihr alle 3 nutzen möchtet.

Soweit, so gut. Was die log Module angeht, müsst ihr selber mal schauen, da ich sie nie wirklich genutzt habe. Sollte aber nicht sonderlich schwer sein, da alles in den Files kommentiert ist.

Voil’a. Euer Amun Honeypot ist soweit erfolgreich konfiguriert. Ihr könnt diesen jetzt per /etc/init.d/amun start zum Leben erwecken.

Viel Spaß nun mit eurem frischen Amun Honeypot. :]

Anmerkungen, Probleme, usw. bitte als Kommentar verfassen.

Post to Twitter

Verschlagwortet mit , | 5 Kommentare