BotNetzProvider.de Ein Security Blog über Honig-Töpfe (honeypots) , Bots und Bitcoin

15Jun/090

Glastopf version 0.2.0 released

Wie ich gerade erfahren habe, ist eine neue Version von GlasTopf erschienen.

Hier kurz ein paar Informationen dazu:

Folgende neue Module wurden implementiert:

Twitter Modul: Wie schon berichtet verwende ich eine Schnittstelle zu Twitter um aktuelle Statistiken aus der Datenbank zu “tweeten”. Das Modul ist noch sehr statisch, aber das Prinzip steht und wird nun kontinuierlich erweitert. Aktuelle Zahlen aus der zentralen Datenbank können hier abonniert werden.

IRC Modul: Quasi identisch zum Twitter Modul, mit dem Unterschied, dass man hier die Daten direkt abrufen kann. Das Modul formt aus der Anfrage ein MySQL Query und Antwortet mit dem Ergebnis. Dies bedeutet, wir haben keine endlosen Zeilen mit einzelnen Log Einträgen, sondern klar definierte Anfragen mit kompakten Antworten.

LFI Handler: Irgendwann ist er verschwunden und hiermit hauch ich ihm neues Leben ein. Glastopf ist nun wieder in der Lage Locale File Inclusions zu behandeln. Ich erhoffe mir dadurch Zahlen um die Häufigkeit der unterschiedlichen Angriffsmethoden vergleichen zu können. Des Weiteren möchte ich nach Remote Code Execution (RCE) Angriffen Ausschau halten. Hierfür ist die Emulation von LFIs unerlässlich.

Splash Modul: Endlich ein schöner Output beim Starten des Glastopfs!

Änderungen an bestehenden Modulen:

DynDork Modul: Bisher wurde die dynamische Dork Liste live bei jeder Abfrage durch eine Suchmaschine generiert. Dies kann 1. zu Timeouts und 2. zu einer steigenden Belastung der Datenbank führen. Um dies zu umgehen, kann die Dork Liste nun in definierten Zeitabständen generiert werden.

Unter anderem habe ich mich an die Säuberung des Codes gemacht. Ich bin jedoch mit den Zeilenumbrüchen noch nicht ganz glücklich, mal sehen ob sich da noch was ändert.

22Apr/090

[glastopf] Stand der Entwicklung

Was ist der Glastopf?
Der Glastopf ist ein in python geschriebener Webhoneypot.
Er baut darauf auf, dass die RFI scanner google dorks benutzen.
Anfragen an den Glastopf werden in einer Mysql-Datenbank abgelegt,
erfolgreich heruntergeladene Skripte werden mit dem Dateinamen der MD5-Summe auf der Festplatte gespeichert.
Die Rückgabe an den Angreifer wird über ein leicht zu erweiterndes parseline Modul erreicht.
Sofern die Rückgabe auf Gefallen stösst, erhalten wir auch die nachgeladenen Skripte.
Ein einfach zu bearbeitendes Webinterface ist eine weitere Komponente.
Selbstverständlich ist der Glastopf als experimentelle Software zu sehen.

Wo kann man den glastopf herunterladen?
Für das Glastopf-Projekt gibt es eine subversion-Verwaltung.
Zudem stehen tarballs zur Verfügung.
In den svn branches findet Ihr zusätzlich eine funktionsreichere Version des Webinterfaces als auch einen unstable und testing-Zweig des Honigtopfes.
Bitte besucht http://trac.1durch0.de/trac/wiki/GlastopfDocumentation.
Dort findet Ihr auch kurze Anleitungen zur Installation auf debian, winXP und OS-X.


Wer mithelfen kann
Mithelfen kann eigentlich jeder, der sich für diese Themen interessiert.
Feedback ist immer erwünscht.
Jeder, der den Glastopf probiert, sollte Rückmeldung geben.
Es steht jedem offen, ein Ticket im Trac zu erstellen.

Mehr Infos  hier

Offizielle Webseite

/* google like button API */