BotNetzProvider.de

Ich habe meine Domain botnetzprovider.de wieder reaktiviert und schreibe nun dort ausführlich über IRC-Botnetz Monitoring. Mein neuer Freund hat heute, so gegen 14Uhr angefangen, massiv im Internet zu scannen nach RFI (remote files inclusion) Lücken. Dies ist natürlich nicht unentdeckt geblieben und meine Honeypots haben eine hohe Aktivität gezeigt. Hier ein kleiner Ausschnitt aus meinen [...]

[Mehrlesen →]

Wer mit Fail2Ban z.B. SSH-Angriffe oder Einbruchsversuche via SMTP, FTP oder über den Apache überwacht und automatisch sperren lässt, kann mit dem Projekt von http://www.blocklist.de die Angreifer automatisiert den zuständigen Provider melden, damit diese die infizierten PC’s/Server überprüfen, bzw. den Kunden darüber in Kenntnis setzten. Im Vergleich zu dem direkten Reporting von Fail2Ban, sendet blocklist.de [...]

[Mehrlesen →]

Nun endlich ist es so weit, mein “Honeypot goes Botnetzprovider.de” Ich habe mir gedacht mein Blog ist eine gute Plattform um das Honeypot Projekt einmal vorzustellen. Es handelt sich dabei um mehrere “Sensoren” die ich auf der ganzen Welt verteilt habe. Dabei handelt es sich um kleinere Server die zusammen in eine “Zentrale Datenbank” (zDB) [...]

[Mehrlesen →]

/errors.php?error //appserv/main.php?appserv_root /?sourcedir //include/admin.lib.inc.php?site_path //s_loadenv.inc.php?DOCUMENT_ROOT //contenido/includes/include.newsletter_jobs_subnav.php?cfg[path][contenido] //phpAdsNew/view.inc.php?phpAds_path ///?_SERVER[DOCUMENT_ROOT] //errors.php?error //administrator/components/com_virtuemart/export.php?mosConfig_absolute_path

[Mehrlesen →]

Wie ich gerade erfahren habe, ist eine neue Version von GlasTopf erschienen. Hier kurz ein paar Informationen dazu: Folgende neue Module wurden implementiert: Twitter Modul: Wie schon berichtet verwende ich eine Schnittstelle zu Twitter um aktuelle Statistiken aus der Datenbank zu “tweeten”. Das Modul ist noch sehr statisch, aber das Prinzip steht und wird nun [...]

[Mehrlesen →]

Wir mussten mit Erschrecken feststellen, wie schnell die Hacker auf neue Honeypots reagieren können. Was ist passiert? Wir haben einen modifizierten “pbot” abgefangen, welcher normalerweise als RFI genutzt wird. Was hat sich geändert? Prinzipiell ist der Aufbau des “pbot” immer noch gleich/ähnlich geblieben, doch es wurde eine neue Funktion eingeführt. Diese neue Funktion erlaubt es [...]

[Mehrlesen →]

Hier beschreibe ich kurz wie man sich seinen eigenen Honeypot erstellt. Benutzen werde ich hierzu Python. Bitte macht euch nicht zu viele Hoffnungen, der Honig-Topf wird lediglich die Angreifer IP aufzeichnen. (honey.txt in honey.py noch umbenennen falls nötig) Genutzt wird der Honeypot wie folgt: wir machen das Script ausführbar “$ chmod +x honey.py Nun starten [...]

[Mehrlesen →]

Ich habe mein Server Setup für mein Honeynet mal kurz beschrieben. Es handelt sich dabei um 2 vServer. Diese sind nun knapp 48 Stunden online mit 2 Honeypot Systemen. Auch trudeln so langsam die erstem Ergebnisse ein, was mich sehr erstaunt. Wenn es genug Daten sind, werde ich sie auch hier veröffentlichen. Mehr Informationen zu [...]

[Mehrlesen →]

Honeypot der II.: Ich habe einen neuen vServer bekommen und werde dort auch wieder einen neuen Honig-Topf installieren. Hier werde ich euch kurz beschreiben wie ich das ganze gemacht habe. Es handelt sich um ein neues Projekt mit dem Namen: DShield Web Honeypot Project Ich selber habe noch keine Erfahrungen mit dem Honeypot gemacht. Auf [...]

[Mehrlesen →]

Wie mir in einem Newsletter mitgeteilt wurde, entwickelt dshield.org einen php-basierten “Web Application Honeypot”. Ihr könnt Euch auf Google-Code ein Bild vom Fortschritt der Entwicklung machen. Ihr solltet Euch, wenn Ihr helfen möchtet, zunächst auf secure.dshield.org registrieren. Dort könnt Ihr dann das tarball herunterladen. Im Grunde besteht es nur aus einer index.php und templates, die [...]

[Mehrlesen →]