BotNetzProvider.de Ein Security Blog über Honig-Töpfe (honeypots) , Bots und Bitcoin

17Mai/103

IRC-Botnetz Monitoring

Ich habe meine Domain botnetzprovider.de wieder reaktiviert und schreibe nun dort ausführlich über IRC-Botnetz Monitoring.

Mein neuer Freund hat heute, so gegen 14Uhr angefangen, massiv im Internet zu scannen nach RFI (remote files inclusion) Lücken.
Dies ist natürlich nicht unentdeckt geblieben und meine Honeypots haben eine hohe Aktivität gezeigt.
Hier ein kleiner Ausschnitt aus meinen Honeypot logs:

[HIER ZUM WEITERLESEN]

Update: Bin ich davon auch betroffen? - live monitoring der IRC-c&c Server

Mit dem Namenarray des Bots abgeglichene und formatierte IP/Host Liste: HIER downloaden

veröffentlicht unter: Allgemein, Botnetz, Bots, Honeypot 3 Kommentare
11Mai/100

SSH-Angriffe mit Fail2Ban stoppen und melden – blocklist.de

Wer mit Fail2Ban z.B. SSH-Angriffe oder Einbruchsversuche via SMTP, FTP
oder über den Apache überwacht und automatisch sperren lässt, kann mit
dem Projekt von http://www.blocklist.de die Angreifer automatisiert den zuständigen Provider melden, damit diese die infizierten PC's/Server
überprüfen, bzw. den Kunden darüber in Kenntnis setzten.

Im Vergleich zu dem direkten Reporting von Fail2Ban, sendet blocklist.de
nur alle 24 Stunden bei erneuten Angriffen ein Report, wodurch die
Abuse-Departments nicht alle paar Minuten einen Report erhalten (was
sehr nerven kann). Die Abuse-Departments können die Reports zudem für
mehrere Tage aussetzten lassen, falls diese z.B. für die Bereinigung
mehr Zeit benötigen.

Als registrierter User, sieht man über seine Server eigene Statistiken
oder kann sich mit den anderen Servern vergleichen und auch die
IP-Adressen der Angreifer für eigene Firewalls der letzten 24 Stunden
herunter laden.
Die Reports werden in X-ARF (http://www.x-arf.org/) generiert, wodurch
die Reports automatisiert verarbeitet und einfach erweitert werden können.
Die Bounce-Mails werden automatisch ausgewertet und so veraltete
Abuse-Adressen angepasst oder auf Wunsch gegen bessere Adressen ersetzt.

Die Beispiel-Konfiguration
(http://www.blocklist.de/downloads/fail2ban.config.tar.gz) muss auf den
gängigsten Systemen nur in der jail.conf bei der Absender-Adresse von
"fail2ban@DEINE-DOMAIN" durch die eigene Absender-Adresse angepasst
werden und dann kann man den Server hinzufügen und reporten oder die Reports
weiterleiten.

veröffentlicht unter: Allgemein, Honeypot keine Kommentare
7Okt/090

HoneyPot goes botnetzprovider.de

Nun endlich ist es so weit, mein “Honeypot goes Botnetzprovider.de

Ich habe mir gedacht mein Blog ist eine gute Plattform um das Honeypot Projekt einmal vorzustellen. Es handelt sich dabei um mehrere “Sensoren” die ich auf der ganzen Welt verteilt habe. Dabei handelt es sich um kleinere Server die zusammen in eine “Zentrale Datenbank” (zDB) schreiben.

Bei den Honeypot handelt es sich um einen von Lukas entwickelten RFI-Honeypot mit dem Name “GlasTopf” (http://trac.1durch0.de/trac). Die Honeypots sind “low-interaction Honeypot”

Ein low-interaction Honeypot emuliert die angegriffenen Dienste nur. Es eignet sich besonders für die Analyse von automatisierten Angriffe von RFI Attacken. Diese automatisierten Angriffe werden durch einen Parser analysiert und in die “Zentrale Datenbank” (zDB) geschrieben.

Unser Honeypots sind spezialisiert auf Remote File Inclusion / Local File Inclusion (RFI/LFI) Diese werden mit Hilfe von unserem “Vulnerability Emulator” erstellt und für die Suchmaschinen aufbereitet.

Zentrale Datenbank:
Hier ist der aktuelle Counter zur zDB, dieser Counter zeigt an wie viele uniq Hits wir bis jetzt gesammelt haben.

zentrale_datenbank

5Jul/090

KW 27 – Top 10 – RFI Patterns

/errors.php?error
//appserv/main.php?appserv_root
/?sourcedir
//include/admin.lib.inc.php?site_path
//s_loadenv.inc.php?DOCUMENT_ROOT
//contenido/includes/include.newsletter_jobs_subnav.php?cfg[path][contenido] //phpAdsNew/view.inc.php?phpAds_path
///?_SERVER[DOCUMENT_ROOT] //errors.php?error
//administrator/components/com_virtuemart/export.php?mosConfig_absolute_path

15Jun/090

Glastopf version 0.2.0 released

Wie ich gerade erfahren habe, ist eine neue Version von GlasTopf erschienen.

Hier kurz ein paar Informationen dazu:

Folgende neue Module wurden implementiert:

Twitter Modul: Wie schon berichtet verwende ich eine Schnittstelle zu Twitter um aktuelle Statistiken aus der Datenbank zu “tweeten”. Das Modul ist noch sehr statisch, aber das Prinzip steht und wird nun kontinuierlich erweitert. Aktuelle Zahlen aus der zentralen Datenbank können hier abonniert werden.

IRC Modul: Quasi identisch zum Twitter Modul, mit dem Unterschied, dass man hier die Daten direkt abrufen kann. Das Modul formt aus der Anfrage ein MySQL Query und Antwortet mit dem Ergebnis. Dies bedeutet, wir haben keine endlosen Zeilen mit einzelnen Log Einträgen, sondern klar definierte Anfragen mit kompakten Antworten.

LFI Handler: Irgendwann ist er verschwunden und hiermit hauch ich ihm neues Leben ein. Glastopf ist nun wieder in der Lage Locale File Inclusions zu behandeln. Ich erhoffe mir dadurch Zahlen um die Häufigkeit der unterschiedlichen Angriffsmethoden vergleichen zu können. Des Weiteren möchte ich nach Remote Code Execution (RCE) Angriffen Ausschau halten. Hierfür ist die Emulation von LFIs unerlässlich.

Splash Modul: Endlich ein schöner Output beim Starten des Glastopfs!

Änderungen an bestehenden Modulen:

DynDork Modul: Bisher wurde die dynamische Dork Liste live bei jeder Abfrage durch eine Suchmaschine generiert. Dies kann 1. zu Timeouts und 2. zu einer steigenden Belastung der Datenbank führen. Um dies zu umgehen, kann die Dork Liste nun in definierten Zeitabständen generiert werden.

Unter anderem habe ich mich an die Säuberung des Codes gemacht. Ich bin jedoch mit den Zeilenumbrüchen noch nicht ganz glücklich, mal sehen ob sich da noch was ändert.

3Jun/091

Hacker schlagen zurück gegen Honeypots

Wir mussten mit Erschrecken feststellen, wie schnell die Hacker auf neue Honeypots reagieren können.

Was ist passiert?
Wir haben einen modifizierten "pbot" abgefangen, welcher normalerweise als RFI genutzt wird.

Was hat sich geändert?
Prinzipiell ist der Aufbau des "pbot" immer noch gleich/ähnlich geblieben, doch es wurde eine neue Funktion eingeführt. Diese neue Funktion erlaubt es dem Hacker gewisse Domains aus dem zu scannenden Bereich zu filtern.

Wie haben die Hacker das umgesetzt?
---code snip---
// hier werden die zu "sperrenden" Domains eingetragen
$ignorelist = array(
'av.rds.yahoo.com/',
'xxxtz.com',
'xxxst.de',
'xxxy.com',
);

---snap---

// hier wird während des Scannens die Liste abgefragt
----code snip---
foreach ($ignorelist as $v) {
if(substr_count($pesanlo,strtolower($v)) > 0) {

---snap---

Wie kann man ein Blacklisting verhindern?

Zunächst ist es wichtig die eingefangenen "pbot" automatisch zu analysieren. Dadurch kann festgestellt werden, ob und in welcher Weise die Hacker die Domains blacklisten.
Wie wir feststellen konnten, blocken die Hacker nur auf Domain-Ebene, d.h. wir können einfach neue Domains in Umlauf bringen ohne gleich eine neue IP Adresse benutzen zu müssen. Leider bedeutet das auch im Umkehrschluss, dass wir wieder viel Zeit investieren müssen um die Domains bekannt zu machen. Indem wir unsere Honeypots den aktuellen Gegebenheiten anpassen, reagieren auch wir auf die von Hackern herbeigeführten Veränderungen.

Was bedeutet das für die Zukunft der Honeypots?

Wir deuten es als ein gutes Zeichen, dass die Hacker sich mit unserem Topf beschäftigen. Dies zeigt uns, dass sie unseren Honeypot als Bedrohung sehen, da sie viel Zeit investieren mussten um unser Netz zu analysieren.
In Zukunft wird es wichtig sein, ein großes und schnelll wachsendes Honey-Netz aufzubauen, um den Hackern nur einen kleinen Ausschnitt offen legen zu müssen. Somit sollten auch kleinere Rückschläge professionell und schnell gelöst werden können.  An alle Honeypot Betreiber, lasst euch davon nicht verärgern, sondern seht es als Herausforderung an weiter zu machen.
Wir werden auch nicht aufgeben ...

19Mrz/092

Eigener Honeypot

Hier beschreibe ich kurz wie man sich seinen eigenen Honeypot erstellt.

Benutzen werde ich hierzu Python.

Bitte macht euch nicht zu viele Hoffnungen, der Honig-Topf wird lediglich die Angreifer IP aufzeichnen.

(honey.txt in honey.py noch umbenennen falls nötig)

Genutzt wird der Honeypot wie folgt:

  • wir machen das Script ausführbar "$ chmod +x honey.py

Nun starten wir den Honeypot:

  • $ ./honey.py 21 hacker-ip.txt

Ich habe nun einen Port angegeben, auf welchem mein Honeypot  lauschen soll. Nun muss ich nur noch eingeben, was er dem Angreifer anzeigen soll, wenn dieser sich verbindet.

  • FTP Server

Dort könnte man auch vorgeben, dass man ein Windows Ftp Server sei, oder ähnliches.

Jetzt heißt es warten und am besten lässt man den kleinen Honeypot im "screen" laufen, so dass man die Verbindung nicht permanent offen haben muss.

Hier kannst du den Honeypot downloaden.

25Feb/092

Server Setup – Honeynet Aufbau

Ich habe mein Server Setup für mein Honeynet mal kurz beschrieben. Es handelt sich dabei um 2 vServer.
Diese sind nun knapp 48 Stunden online mit 2 Honeypot Systemen. Auch trudeln so langsam die erstem Ergebnisse ein, was mich sehr erstaunt.

Wenn es genug Daten sind, werde ich sie auch hier veröffentlichen.

Mehr Informationen zu den 2 Servern findest du HIER


22Feb/090

DShield Web Honeypot Project

Honeypot der II.:

Ich habe einen neuen vServer bekommen und werde dort auch wieder einen neuen Honig-Topf
installieren. Hier werde ich euch kurz beschreiben wie ich das ganze gemacht habe.

Es handelt sich um ein neues Projekt mit dem Namen: DShield Web Honeypot Project

Ich selber habe noch keine Erfahrungen mit dem Honeypot gemacht.
Auf meinem vServer ist Debian 5.0 minimal installiert die 32bit Version.

.: Installation :.

Vor der Installation des Honig-Topfes

$ apt-get update && apt-get upgrade
$ apt-get install build-essential
$
apt-get install apache2 libapache2-mod-php5 php5-cli php5-common php5-cgi php5-curl
$ a2dismod php5

Für den eigentlichen Honeypot gibt es ein vorgefertigtes .deb Paket. Welches man hier downloaden kann.
Habe vorher noch "lynx" installiert, da ich probleme mit dem "wget" hatte, dasss Packet zu ziehen. Wir installieren das Paket nun wie folgt:

$ dpkg -i whp-0.0.20090219-r81.deb

Nun installiert er sich hierher  /opt/webhoneypot:

Wie wir es vom Apache2 gewohnt sind, legt er die virtuellen Hosteinstellungen wie folgt ab:


/etc/apache2/sites-available/whp
mit automatischem Symlink auf /etc/apache2/sites-enabled/001-whp.

Der automatische Updater liegt unter  /etc/cron.daily. Ein kleines Script mit dem

update-whp.sh

Nun sollte man sich ein Account bei https://secure.dshield.org zulegen. Wenn man das gemacht hat muss man nur noch die Accountdaten in der /etc/webhoneypot/config.local eintragen.
Hier ein Beispiel dafür:


config.local example
[config]
userid=IHR-Benutzer_ID
password=IHR-PASSWORT

Als letztes starten man den Honig-Topf mit folgendem Befehl:


$ cd /opt/webhoneypot/lib
$ php5 config.php

Man beantwortet die Fragen und schon läuft der Honig-Topf an 🙂

Übersicht der Ordnerstrukturen:

Ordner Inhalt Beschreibung
html index.php This directory is the DOCUMENT_ROOT
logs logfiles This Directory may be linked e.g. to /var/log/webhoneypot
etc config.local This Directory may be linked to /etc/webhoneypot
templates template files and directories
lib install.php
common_functions.php
updates update files

Rechtevergabe:


Besitzer:Gruppe
Rechte
all directories
all files
Exceptions:
logs/*
html/*
root:root
root:root

www:www
www:www

755
644

640
440

22Feb/090

Dshield.org – Web Application Honeypot

Wie mir in einem Newsletter mitgeteilt wurde,
entwickelt dshield.org einen php-basierten "Web Application Honeypot".
Ihr könnt Euch auf Google-Code ein Bild vom Fortschritt der Entwicklung machen.
Ihr solltet Euch, wenn Ihr helfen möchtet, zunächst auf secure.dshield.org registrieren.
Dort könnt Ihr dann das tarball herunterladen.
Im Grunde besteht es nur aus einer index.php und templates,
die unterhalb des www-Pfades liegen.
Es lassen sich einfach neue templates hinzufügen,
deren Aufruf man in einer Konfigurationsdatei per RegEx steuern kann.

Mehr dazu später, ich werde euch noch beschreiben wie man so einen Honeypot (honig-Topf) aufsetzt.

/* google like button API */