BotNetzProvider.de Ein Security Blog über Honig-Töpfe (honeypots) , Bots und Bitcoin

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...

Honeypot „Nepenthes“ (Honig-Topf)

Eins der wichtigsten Mittel gegen Botnetze und Malware sind "honeypots" (Honig-Töpfe).
Wikipedia sollte jedem helfen sich kurz in das Thema einzulesen und mir erspart es viel Tipparbeit 🙂
Ich werde euch nun kurz beschreiben wie man einen solchen honeypot aufsetzt.
Als Grundlage dient uns ein Debian 4.0 Server. In meinem Fall ist es ein vServer den ich dafür benutze.
Die Software die ich verwende ist "nepenthes". Ein klassischer Honig-Topf und leicht zu installieren.

Man sollte zunächst einmal einen eigenen User anlegen "nepenthes" und die dazugehörige Gruppe. Bei Debian kann man es sich leicht machen und mit "$ adduser nepenthes" den Benutzer/Gruppe anlegen.

.: Installation :.

Auf meinem Debian Server habe ich zunächst vollgende Pakete installiert:

  • flex - 2.5.31-31sarge1
  • bison - 1.875d-1
  • libtool - 1.5.6-6
  • automake - 1.9.5 (automake1.9)
  • autoconf - 2.59a-3
  • libadns1 - 1.0-8.2
  • libadns1-dev - 1.0-8.2
  • libcurl3 - 7.13.2-2sarge5
  • libcurl3-dev - 7.13.2-2sarge5
  • libmagic1 - 4.12-1
  • libmagic-dev - 4.12-1
  • libpcre3 - 4.5-1.2sarge1
  • libpcre3-dev - 4.5-1.2sarge1
  • subversion - 1.1.4-2

Nun wechseln wir ins Homeverzeichnis des users "nepenthes":

$ cd /home/nepenthes

Legen ein build Verzeichnis an und checken nepenthes aus:

$ mkdir ~/nepenthes
$ cd ~/nepenthes
$ svn co https://svn.carnivore.it/nepenthes/trunk/

Um das ganze nun ein wenig zu vereinfachen legen wir uns ein build Verzeichnis an:

$ cp -a trunk build

Bis hierher war es ja einfach, aber nun beginnt der Spass 🙂
Wenn man  libpcap installiert hat versucht nun "configure" das pcap honeytrap modul zu installieren. Ich habe nun configure so angepasst, das genau dieses modul nicht aktiviert wird. Wer aber möchte kann dies gerne installieren.
Der build Vorgang wird einige Zeit in anspruch nehmen. (*Kaffe trinken*)

$ sudo mkdir /opt/nepenthes
§ chown nepenthes:nepenthes /opt/nepenthes
$ autoreconf -v -i --force
$ ./configure --prefix=/opt/nepenthes --disable-ipq --disable-pcap
$ make && sudo make install
$ sudo chown -R nepenthes:nepenthes /opt/nepenthes

Die Einstellung von "submit-norman.conf" ist nicht nötig, aber ratsam.

$  "submitnorman.so", "submit-norman.conf",         ""

Editiere /opt/nepenthes/etc/nepenthes/submit-norman.conf für den Upload der "Norman submission". Nochmal, das ganze ist nicht nötig, sollte aber durchgeführt werden.

submit-norman
{
       // this is the adress where norman sandbox reports will be sent
       email   "you@example.net";
};
Nun ist das ganze so weit vorkonfiguriert und wir können los legen. Ab jetzt beginnt der
spannende teil des ganzen. Das ganze starten und als "nepenthes" Benutzer laufen lassen. 

$ sudo /opt/nepenthes/bin/nepenthes -u nepenthes -g nepenthes -w /opt/nepenthes

Nun sollte man die logs sich genauer ansehen und vielleicht mal einen "port scan" von einer
anderen IP aus machen, damit man mal sieht welche ports offen sind. 

Von Zeit zu Zeit sollte man mal " /opt/nepenthes/var/binaries/ " überprüfen nach neuer
Malware. 

Jetzt hat man einen eigenen "Honig-Topf" aufgesetzt 🙂 natürlich kann man nepenthes noch mit
weiteren Modulen bestücken. Ich wollte euch nur mal einen kleinen Einblick in die Welt der
Honig-Töpfe geben.
Es wäre schön wenn Ihr mir Eure Erfahrungen im Bereich honeypots kurz posten würdet, oder eine
Mail an mich.
Kommentare (0) Trackbacks (0)

Zu diesem Artikel wurden noch keine Kommentare geschrieben.


Leave a comment

Noch keine Trackbacks.

/* google like button API */