IRC BOT geschrieben in Perl
#!/usr/local/bin/perl -w
# irc.pl
# A simple IRC robot.
# Usage: perl irc.pl
use strict;
# We will use a raw socket to connect to the IRC server.
use IO::Socket;
# The server to connect to and our details.
my $server = "irc.freenode.net";
my $nick = "simple_bot";
my $login = "simple_bot";
# The channel which the bot will join.
my $channel = "#irchacks";
# Connect to the IRC server.
my $sock = new IO::Socket::INET(PeerAddr => $server,
PeerPort => 6667,
Proto => 'tcp') or
die "Can't connect\n";
# Log on to the server.
print $sock "NICK $nick\r\n";
print $sock "USER $login 8 * 
erl IRC Hacks Robot\r\n";
# Read lines from the server until it tells us we have connected.
while (my $input = <$sock>) {
# Check the numerical responses from the server.
if ($input =~ /004/) {
# We are now logged in.
last;
}
elsif ($input =~ /433/) {
die "Nickname is already in use.";
}
}
# Join the channel.
print $sock "JOIN $channel\r\n";
# Keep reading lines from the server.
while (my $input = <$sock>) {
chop $input;
if ($input =~ /^PING(.*)$/i) {
# We must respond to PINGs to avoid being disconnected.
print $sock "PONG $1\r\n";
}
else {
# Print the raw line received by the bot.
print "$input\n";
}
}
(c) by http://oreilly.com/pub/h/1964
DShield Web Honeypot Project
Honeypot der II.:
Ich habe einen neuen vServer bekommen und werde dort auch wieder einen neuen Honig-Topf
installieren. Hier werde ich euch kurz beschreiben wie ich das ganze gemacht habe.
Es handelt sich um ein neues Projekt mit dem Namen: DShield Web Honeypot Project
Ich selber habe noch keine Erfahrungen mit dem Honeypot gemacht.
Auf meinem vServer ist Debian 5.0 minimal installiert die 32bit Version.
.: Installation :.
Vor der Installation des Honig-Topfes
$ apt-get update && apt-get upgrade
$ apt-get install build-essential
$ apt-get install apache2 libapache2-mod-php5 php5-cli php5-common php5-cgi php5-curl
$ a2dismod php5
Für den eigentlichen Honeypot gibt es ein vorgefertigtes .deb Paket. Welches man hier downloaden kann.
Habe vorher noch "lynx" installiert, da ich probleme mit dem "wget" hatte, dasss Packet zu ziehen. Wir installieren das Paket nun wie folgt:
$ dpkg -i whp-0.0.20090219-r81.deb
Nun installiert er sich hierher /opt/webhoneypot:
Wie wir es vom Apache2 gewohnt sind, legt er die virtuellen Hosteinstellungen wie folgt ab:
/etc/apache2/sites-available/whp mit automatischem Symlink auf /etc/apache2/sites-enabled/001-whp.
Der automatische Updater liegt unter /etc/cron.daily. Ein kleines Script mit dem
update-whp.sh
Nun sollte man sich ein Account bei https://secure.dshield.org zulegen. Wenn man das gemacht hat muss man nur noch die Accountdaten in der /etc/webhoneypot/config.local eintragen.
Hier ein Beispiel dafür:
config.local example
[config]
userid=IHR-Benutzer_ID
password=IHR-PASSWORT
Als letztes starten man den Honig-Topf mit folgendem Befehl:
$ cd /opt/webhoneypot/lib
$ php5 config.php
Man beantwortet die Fragen und schon läuft der Honig-Topf an 
Übersicht der Ordnerstrukturen:
| Ordner | Inhalt | Beschreibung |
| html | index.php | This directory is the DOCUMENT_ROOT |
| logs | logfiles | This Directory may be linked e.g. to /var/log/webhoneypot |
| etc | config.local | This Directory may be linked to /etc/webhoneypot |
| templates | template files and directories | |
| lib | install.php common_functions.php |
|
| updates | update files |
Rechtevergabe:
| Besitzer:Gruppe |
Rechte | |
| all directories all files Exceptions: logs/* html/* |
root:root root:root www:www |
755 644 640 |
Warum das Ganze?
Ich will hier kurz erklären, warum ich das Ganze hier mache.
Zunächst einmal mein Name ist Mike, ich arbeite für einen großen ISP.
Wir haben täglich mit Hackern, Spammern und Botnetzen zu tun, daher habe ich mich auch in meiner
Freizeit diesem Thema gewidmet.
Hier werdet ihr einiges über aktuelle
Honeypots (Honig-Topf)
Botnetze
Aufbau von Bots und Botnetzen
Echte Beispielbots
finden.
Durch die Verwendung von Honig-Töpfen ist man in der Lage, neue Attacken und deren Muster frühzeitig
zu erkennen und Maßnahmen dagegen einzuleiten.
Ich möchte mich schon mal vorab bei allen Lesern entschuldigen, ich habe, glaube ich, den grafisch "hässlichsten" Blog von allen. Leider kann ich in das Design nicht wirklich viel Zeit investieren. Vielleicht hat ja jemand einen Tipp, was ich für ein Template nehmen soll.
Viel Spass
.: M!ke :.
Dshield.org – Web Application Honeypot
Wie mir in einem Newsletter mitgeteilt wurde,
entwickelt dshield.org einen php-basierten "Web Application Honeypot".
Ihr könnt Euch auf Google-Code ein Bild vom Fortschritt der Entwicklung machen.
Ihr solltet Euch, wenn Ihr helfen möchtet, zunächst auf secure.dshield.org registrieren.
Dort könnt Ihr dann das tarball herunterladen.
Im Grunde besteht es nur aus einer index.php und templates,
die unterhalb des www-Pfades liegen.
Es lassen sich einfach neue templates hinzufügen,
deren Aufruf man in einer Konfigurationsdatei per RegEx steuern kann.
Mehr dazu später, ich werde euch noch beschreiben wie man so einen Honeypot (honig-Topf) aufsetzt.