GlasBlog

In diesem Eintrag, möchte ich genauer auf die Installation von Nepenthes eingehen. Zum größten Teil handelt es sich dabei um eine Übersetzung von der Nepenthes Readme. Im ersten Teil gehe ich auf die Installation aus der Source ein, der Zweite Teil befasst sich mit den verfügbaren vorkompilierten Pakete.

Nepenthes aus der Source:

Voraussetzungen:

Nepenthes verwendet automake um zu prüfen, ob das System die Anforderungen erfüllt.
weiterlesen »

Um Nepenthes immer auf dem neusten Stand zu halten, empfiehlt es sich als Quelle das svn repository zu wählen. Hierfür lädt man die Quellcode über Subversion und installiert Nepenthes.

Installieren von Subversion:

aptitude install subversion

Da im svn repository keine autoconf Dateien enthalten sind, muss man sie selbst mit der Hilfe von

libtool (1.5.20)
automake (1.9.6)
autoconf (2.59)

erstellen.

apt-get install autoconf automake1.9 autotools-dev libtool

Download des Quellcodes:
weiterlesen »

In den letzten Jahren avancierte Google immer mehr zum Spielzeug für Hacker.
Wer sich etwas erschrecken lassen möchte, der sollte mal einer der Hacks auf seinen eigenen Webspace/Server ansetzen. Schnell sieht man, dass man doch nicht so sichert ist, wie man immer dachte.
Informationen wie man Google anwendet gibt es zu genüge, prominentes Beispiel dafür ist die Google Hacking Database (lässt sich übrigens auch über Google finden).
Dort findet man jede Menge Informationen und Tipp zu Schwachstellen wie:

weiterlesen »

Als erstes habe ich das module-honeytrap eingerichtet. Dabei habe ich mich an das Howto von Nepenthes gehalten.

Wikipedia Eintrag zu honeytrap:

honeytrap ist ein Open-Source-Honeypot für die Sammlung von Informationen zu bekannten und neuen netzbasierten Angriffen. Um auf unbekannte Attacken reagieren zu können, untersucht honeytrap den Netzwerk-Stream auf eingehende Verbindungsanfragen und startet dynamisch Port-Listener, um diese verarbeiten zu können. Im “Mirror Mode” können Attacken zum Angreifer zurückgespiegelt werden. Über eine Plugin-Schnittstelle ist honeytrap um zusätzliche Funktionen erweiterbar.

Der Mirror Mode wird vom Nepenthes Modul nicht unterstützt.
Ich lass honeytrap im pcap Modus laufen. hauptsächlich, weil es am einfachsten zu konfigurieren war.
weiterlesen »

Um ca. 3:00 Uhr bin ich noch mal auf den C&C. Der Channel war nicht mehr Passwort geschützt. Wahrscheinlich haben sie den Bot nicht umprogrammiert bekommen. Somit gab es damit schon keine Probleme. Der eine Herder war laut eigener Angabe offline und der andere hat sich zwischen 2:00 und 3:00 nicht geregt. Daher bin ich davon ausgegangen, freies Feld zu haben. Wie zu erwarten war, konnte ich mich nicht in die Bots einloggen. Vermutlich brauche ich dafür OP. Aber es war auf jeden Fall interessant, dass die Bots schöne Fehlermeldungen ausgegeben haben, sobald man sich mit ihnen verbinden wollte. Soviel dazu.

Zu Nepenthes. Aktuell bekomme ich nur noch wenig Mails. So um die 8-10/Tag die sinnvolle Informationen enthalten. Ich denke das wird der Wert sein, auf dem es sich einpendelt. Im #nepenthes Channel riet man mir noch zu überprüfen ob module-honeytrap erwartungsgemäß läuft. Das werde ich die Tage mal überprüfen.

Okay, ich habe mir gedacht, ich bekomme immer so tolle Berichte von Norman über die tollen Bots die ich ihm schicke:

[ Network services ]
* Looks for an Internet connection.
* Connects to “213.92.*.*” on port 5000 (TCP).
* Connects to IRC Server.
* IRC: Uses nickname [_]|803400.
* IRC: Uses username ezkieyac.
* IRC: Joins channel #owned.

Damit muss man doch was lernen können. Das ich da nicht einfach reinplatzen kann, war klar, also wurde vorbereitet:

1. Der IRC-Server der zur Steuerung der Bots dient wird der C&C genannt, der Command and Control Server. Über ihn laufen alle Befehle.

Quelle

2. Da ich ungefäh eine Vorstellung habe, was die mit ihren Bots anrichten, wollte ich im Fall, dass sie mich erwischen, mich doch so weit absichern, dass sie meine Verbindung nicht zurückverfolgen können. TOR musste her.
weiterlesen »

Ich bin zufällig auf #shadowserver.org

Established in 2004, The Shadowserver Foundation gathers intelligence on the darker side of the internet. We are comprised of volunteer security professionals from around the world. Our mission is to understand and help put a stop to high stakes cybercrime in the information age.

gestoßen. Durch deren Topic habe ich mich bis zu Firekeeper durchgeklickt:
weiterlesen »

Zwei gescheiterte Versuche:

1. NepenthesFE, ein Frontend, das wenn es läuft so aussehen soll. Leider benötigt es submit_xmlrpc, was jedoch mit folgender Begründung aus 0.2.0 entfernt wurde:

common: xmlrpc was borked

Nun ja, aus NepenthesFE wurde also vorerst nichts. Schauen wir mal, wie es in Zukunft aussieht:
weiterlesen »

Beeindruckende Fangquoten. Die Rate ist auf jeden Fall höher.
Ich versuche mich etwas in Shellcode reversing einzulesen, fühle mich aber etwas verloren. Mal sehen, ob ich mir das irgend wann an tuen werde.
Das Assembler Buch wird wohl vorerst zu bleiben. Quellen im Internet habe ich leider auch noch nicht gefunden. Aber auch nicht die Zeit für eine intensive Suche gehabt.
Das log-irc Modul tut noch nicht wie ich will. Gesteuert wir die Ausgabe über sogenannte pattern, man gibt dem Modul an, welchem Muster die Log-Einträge entsprechen müssen, damit sie in den IRC Channel gesendet werden.

So, ich hatte Nepenthes von *.deb installiert. Leider ist nur die Version 0.1.7 verfügbar. Also habe ich mich heute an die installation aus der Source gemacht. Den Tarball bekommt man bei SourceForge. Nach dem alle Probleme beim configure behoben waren, habe ich noch libpcap installiert um pcab verwenden zu können.
die Docu meint dazu:

pcap

In pcap mode we will listen for RST packets, and open a shell on the ports which were closed. pcap mode looses every first connection attempt per port.

Wir werden sehen, ob es eine Veränderung gibt. Auch bin ich gespannt, was der Versionssprung zu 0.2.0 bringt.

Ich hatte etwas Probleme beim compilieren. Mein etwas schmales System hat ein paar MB mehr bekommen ;)

Okay, ich bin fertig. Nepenthes schnurrt wieder. pcab läuft auch und ich spiele mit log-irc. Lässt sich ganz nett einrichten, mal sehen, was ich da noch mache. Vom Gefühl her würde ich behaupten, dass etwas mehr geht, man wird sehen.