Honeypot hat jemand Erfahrung

[iCrypto]

Hallo meine Endlose Suche irgendwie Hacker Angriffen zu sehen oder auf meinem Apache einen durchzuführen landete heute einen Treffer

Unzwar hatte ich die Idee wieso ich keinen Honeypot hoste und damit dann Angriffe beobachten. Das Problem ich haben keine Ahnung wann jemand anbeisst

 

[Linus]

Huhu,
was ganau willst du denn machne? Die Ip herrausfinden? Sie abschrecken?

"Die IP raus zu bekommen ist eigentlich kein Problem. Wenn Du eine Domain besitzt hast Du Zugriff auf eine Log-Datei, die Dir genau protokolliert, wann eine Anfrage von welcher IP-Adresse gekommen ist. Von welcher Internetseite diese ggf. auf Deiner verlinkt worden ist, aka wo diese vorher war, und wo sie hingegangen ist. Bietet Dir der Provider an."

Das wäre vlt. was, aber keine Ahnung was ganau du machne willst, bitte präzieser

Ach und schau mal, das habe ich vor ca. nem Jahr gefunden: Index of /etc/passwd Via Google Hacking
@Bitmuncher: Coole Sache Ich dachte an was primitives, aber du

 

[bitmuncher]

Ich nutze für Honeypots eine Kombination aus IDS und VM. Erkennt das IDS Traffic, den es als unknown, suspicious oder attack einstuft, wird mittels iptables festgelegt, dass diese Source-Adresse in eine VM umgeleitet wird. Dort läuft ein Abbild des produktiven Systems mit ein paar hundert eingebauten Sicherheitslücken. So laufen dort z.B. zusätzlich verschiedene Versionen diverser Webapps wie PHPMyAdmin, Joomla, Drupal, Wordpress usw.. Im SMTP-Server befinden sich diverse Format-String-Lücken. Die Rechte auf DB-Dateien stehen auf 777. Und einiges mehr. Weiterhin sind übliche Schutzmechanismen wie noexec für's Temp-Verzeichnis deaktiviert, so dass auch das Einschleusen von Dateien nicht sonderlich schwierig ist. Es gibt auch keinen Bruteforce-Schutz u.ä.. Kurz: Das System ist eine einzige Sicherheitslücke. Geschützt sind lediglich die Bereiche, in denen die Angriffe aufgezeichnet werden.

Sämtlicher Traffic, der in der VM ankommt, wird mittels iptables geloggt. Jede Veränderung, die an der VM vorgenommen wird, wird durch ein HIDS aufgezeichnet. Die eingeschleusten Daten werden dann mittels einer Datenbank, in der bereits bekannte Angriffe vermerkt sind, abgeglichen. Unbekannte Angriffe werden dort vermerkt und mit einer ID versehen, so dass man später gleichartige Angriffe besser zuordnen kann. Abschliessend werden die eingeschleusten Daten aus der VM extrahiert und mit den Traffic-Logs zusammen in ein Archiv gepackt. Dadurch kann man später den Zustand der VM wiederherstellen und auch den Angriff beliebig oft durchlaufen lassen um ihn zu analysieren.

 

[Chromatin]

Glastopf ist an der Stelle auch erwähnenswert.

Ansonsten nochmal umschauen und viel lesen. es gibt da einiges, was ausreichend vorbereitet ist. Wenn Du davon wenig bis keine Ahnung hast, dann versuch am Anfang besser nicht so was in deinem eigenen Netz aufzusetzen.

 

[iCrypto]

Ich nutze für Honeypots eine Kombination aus IDS und VM. Erkennt das IDS Traffic, den es als unknown, suspicious oder attack einstuft, wird mittels iptables festgelegt, dass diese Source-Adresse in eine VM umgeleitet wird. Dort läuft ein Abbild des produktiven Systems mit ein paar hundert eingebauten Sicherheitslücken. So laufen dort z.B. zusätzlich verschiedene Versionen diverser Webapps wie PHPMyAdmin, Joomla, Drupal, Wordpress usw.. Im SMTP-Server befinden sich diverse Format-String-Lücken. Die Rechte auf DB-Dateien stehen auf 777. Und einiges mehr. Weiterhin sind übliche Schutzmechanismen wie noexec für's Temp-Verzeichnis deaktiviert, so dass auch das Einschleusen von Dateien nicht sonderlich schwierig ist. Es gibt auch keinen Bruteforce-Schutz u.ä.. Kurz: Das System ist eine einzige Sicherheitslücke. Geschützt sind lediglich die Bereiche, in denen die Angriffe aufgezeichnet werden.

Sämtlicher Traffic, der in der VM ankommt, wird mittels iptables geloggt. Jede Veränderung, die an der VM vorgenommen wird, wird durch ein HIDS aufgezeichnet. Die eingeschleusten Daten werden dann mittels einer Datenbank, in der bereits bekannte Angriffe vermerkt sind, abgeglichen. Unbekannte Angriffe werden dort vermerkt und mit einer ID versehen, so dass man später gleichartige Angriffe besser zuordnen kann. Abschliessend werden die eingeschleusten Daten aus der VM extrahiert und mit den Traffic-Logs zusammen in ein Archiv gepackt. Dadurch kann man später den Zustand der VM wiederherstellen und auch den Angriff beliebig oft durchlaufen lassen um ihn zu analysieren.

Vielen Dank Bitmuncher!
Aber ich habe eine Frage wo soll ich das ganze machen?
In meinem Lokalen Netzwerk habe ich ja eh keine Hacker und wenn da welche sind wollen die nicht mich hacken xD
Ich hab überlegt in ein Starbucks zu gehen aber das dauert doch bestimmt Tage bis(s) da jemand anbeißt
LG iCrypto

 

[bitmuncher]

In 99,9% der Fälle wirst du es eh nur mit Bots zu tun bekommen. Und die grasen auch DynDNS-Adressen ab. Kannst das also problemlos in deinem heimischen Netzwerk aufbauen. Die ersten SSH-Bruteforces hat man bekanntermaßen bereits innerhalb von 24 Stunden, wenn man den Port 22 auf macht.

 

[iCrypto]

In 99,9% der Fälle wirst du es eh nur mit Bots zu tun bekommen. Und die grasen auch DynDNS-Adressen ab. Kannst das also problemlos in deinem heimischen Netzwerk aufbauen. Die ersten SSH-Bruteforces hat man bekanntermaßen bereits innerhalb von 24 Stunden, wenn man den Port 22 auf macht.

Was empfiehlst du für nen Server der das hostet ?
Und was Machste dann mit den IP's
Wie wäre ein Raspberry Pi den ich als Windoof Computer simuliere oder geht das auf dem Raspberry Pi nicht?
Muss ich mir nen Server kaufen ?
Reicht ein 3 ghz 2 gbit ram aus?

 

[bitmuncher]

Was empfiehlst du für nen Server der das hostet ?

Irgendeinen alten Rechner. Auf jeden Fall Finger weg von Rootservern bei deinem Kenntnisstand.

Und was Machste dann mit den IP's

Wenn der Angriff beendet wurde, wird die IP in der Firewall geblockt und fertig. Was sollte man sonst damit anfangen?

Wie wäre ein Raspberry Pi den ich als Windoof Computer simuliere oder geht das auf dem Raspberry Pi nicht?

Der RPi hat eine ARM-CPU. So weit ich weiss, gibt's für diese Architektur kein Windows. Und wer ohne kommerzielle Software (d.h. auch ohne grossartige Lizenzkosten) auskommen will, der sollte ein freies Unix oder wenigstens ein Linux verwenden.

Muss ich mir nen Server kaufen ?

Kommt drauf an was du noch an Hardware rumstehen hast.

Reicht ein 3 ghz 2 gbit ram aus?

Wie berechnet man den RAM in Gigabit? Aber ja, sowas reicht 10 Mal aus.

Btw: "Windoof" schreiben und es selbst verwenden, könnte (vielleicht auch falsche) Rückschlüsse auf deine Intelligenz bei so manchem Leser verursachen.

 

[lightsaver]

8 Bit = 1 Byte somit wären 2 Gbit = 250 MByte ;-)

 

[iCrypto]

Irgendeinen alten Rechner. Auf jeden Fall Finger weg von Rootservern bei deinem Kenntnisstand.


Wenn der Angriff beendet wurde, wird die IP in der Firewall geblockt und fertig. Was sollte man sonst damit anfangen?


Der RPi hat eine ARM-CPU. So weit ich weiss, gibt's für diese Architektur kein Windows. Und wer ohne kommerzielle Software (d.h. auch ohne grossartige Lizenzkosten) auskommen will, der sollte ein freies Unix oder wenigstens ein Linux verwenden.


Kommt drauf an was du noch an Hardware rumstehen hast.


Wie berechnet man den RAM in Gigabit? Aber ja, sowas reicht 10 Mal aus.

Btw: "Windoof" schreiben und es selbst verwenden, könnte (vielleicht auch falsche) Rückschlüsse auf deine Intelligenz bei so manchem Leser verursachen.

Ich hab bei mir 2 3ghz PCs rumstehen mit je 1gb ram. Was brauchenich denn alles dafür vielleicht eine Liste oder so


Hab mal gelesen das ich Einen Pentium III und drei anetzwerkkarten brauche . Ist das wirklich so

 

[bitmuncher]

Du brauchst einen Rechner mit >=1.6GHz und >4GB RAM. Mehrere Netzwerkkarten brauchst du nur, wenn du Daten tunneln willst, aber selbst das liesse sich mit virtuellen Interfaces auch lösen.

 

[xblax]

xblax

Du solltest vorallem verhindern, dass von einem Honeypot aus in deinem Netzwerk unfug getrieben werden kann. Deshalb würde ich eine Linuxkiste hernehmen (irgendeinen alter Desktop PC reicht) und den Honeypot per KVM oder ähnlichem virtualisieren. Dadurch kannst du

- einfach mit verschiedenen Systemen experimentieren
- die Systeme einfach zurücksetzen
- den Honeypot von deinem Heimnetzwerk abschotten (Demilitarized Zone)
- den Netzwerktraffic vom Virtuallisierungshost aus analysieren

Im Router werden optimaler Weise alle Ports auf den Honeypot PC weitergeleitet, so dass ein Angreifer nur den Honeypot von außen sieht. Das kommt allerdings auch auf das Szenario an welches du analysieren möchtest.
Du könntest auch einfach einen Raspberry PI als Linux basierenden Honeypot nutzen, dann sollte dein Router allerdings portbasierte VLANS unterstützen, damit dein Heimnetz sicher bleibt.

Wenn du das alles installiert hast, dann hast du schon ne Menge gelernt

 

[iCrypto]

Du solltest vorallem verhindern, dass von einem Honeypot aus in deinem Netzwerk unfug getrieben werden kann. Deshalb würde ich eine Linuxkiste hernehmen (irgendeinen alter Desktop PC reicht) und den Honeypot per KVM oder ähnlichem virtualisieren. Dadurch kannst du

- einfach mit verschiedenen Systemen experimentieren
- die Systeme einfach zurücksetzen
- den Honeypot von deinem Heimnetzwerk abschotten (Demilitarized Zone)
- den Netzwerktraffic vom Virtuallisierungshost aus analysieren

Im Router werden optimaler Weise alle Ports auf den Honeypot PC weitergeleitet, so dass ein Angreifer nur den Honeypot von außen sieht. Das kommt allerdings auch auf das Szenario an welches du analysieren möchtest.
Du könntest auch einfach einen Raspberry PI als Linux basierenden Honeypot nutzen, dann sollte dein Router allerdings portbasierte VLANS unterstützen, damit dein Heimnetz sicher bleibt.

Wenn du das alles installiert hast, dann hast du schon ne Menge gelernt

Okay ich mache heute im Forum mal ein Projekt dazu und fange an Danke euch allen!