 Autor
|
Tema: Honeypot casero.. (Leído 4,353 veces)
|
Jenag
 Desconectado
Mensajes: 968
Conoce a tu enemigo como a tí mismo..
|
Hola amig@s EHN me he hecho con el s.o kali-linux-1.0.5-amd64 y en la medida de lo posible me he creado un honeypot , teniendo el s.o lo mas desactualizado posible y con muchas brechas en la seguridad , he ido navegando por los sitios de la red mas hostiles que me he podido conectar , como por la Deep Web como en la superficie , recibiendo multitud de ataques y atacandome con muchos exploits , mi s.o casi se colapsa por tanto malware. Puntualizar que con un chkrootkit al s.o en kali linux antes de nada ya viene instalado , creo que es un tipo de malware worm como es Adore-Worm-dradis y siguiendo puntualizando que el kernel de kali el 3.7 me detecta con clamav que vmlinuz-3.7-trunk-amd64 contiene algún malware y me lo elimina del s.o , por eso si alguién hace pruebas con clamav y tiene dicho kernel en versiones anteriores y posteriores de este kernel también ha sido eliminado por clamav por considerarlo como malware..Por eso es recomendable tener algún kernel demás para no quedarnos sin el s.o. Aquí muestro el sumario del escaneo de clamav : ----------- SCAN SUMMARY -----------
Known viruses: 3224082
Engine version: 0.97.8
Scanned directories: 30906
Scanned files: 296915
Infected files: 1115
Total errors: 11646
Data scanned: 14456.16 MB
Data read: 12324.61 MB (ratio 1.17:1)
Time: 6104.734 sec (101 m 44 s) Como se puede apreciar aunque no son pruebas muy precisas , que en el sistema operativo me colaron 1.115 malware de muy diversos , entre ellos troyanos , gusanos , etcétera..Como soy muy nobata en el tema no puedo de momento ver las técnicas empleadas para asaltarme el honeypot pero con el tiempo todos los datos que pueda ir recolectando la suministraré , estaré encantada de hacerlo para su estudio. Para poder aislar todo el malware encontrado en el s.o he utilizado clamav de la siguiente forma : clamscan -v -r --bell --move /home/Eva/malware --log /home/Eva/virus/malware.log --heuristic-scan-precedence --detect-broken --algorithmic-detection --exclude-dir=/proc --exclude-dir=/media --recursive=yes / Donde con --bell para que suene el malware encontrado , --move mueva lo encontrado al directorio que queramos y --log nos cree un registro de lo encontrado. sldos. 
|
|
|
|
|
En línea
|
|
|
|
|
engel lex
|
cool  ahora tienes un montón de juguetitos para desarmar y ver que hacían! XD la forencia de datos en cool, no soy muy dado a eso (no se me da mucho la ing inversa) pero me gustaría eventualmente ponerme a eso  ya se como empezar!
|
|
|
|
|
En línea
|
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
|
|
|
Jenag
Desconectado
Mensajes: 968
Conoce a tu enemigo como a tí mismo..
|
cool ahora tienes un montón de juguetitos para desarmar y ver que hacían! XD la forencia de datos en cool, no soy muy dado a eso (no se me da mucho la ing inversa) pero me gustaría eventualmente ponerme a eso ya se como empezar! Engelx me gusta que te guste.xD.
|
|
|
|
|
En línea
|
|
|
|
Gh057
Desconectado
Mensajes: 1.190
|
muy creativa! jajaja ibas como caperucita en un bosque de noche y lleno de lobos  tan solo una observación si tiras tanto chkrookit como rkhunter, tienes 2 o 3 falsos positivos desde el inicio; no los detecta como infecciones pero si como warning; por ejemplo, enlaces del kernel, etc: -> http://www.chkrootkit.org/faq/-> http://rkhunter.cvs.sourceforge.net/viewvc/rkhunter/rkhunter/files/FAQluego todo lo demás serían bichitos  |
|
|
|
|
En línea
|
4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...
|
|
|
Jenag
Desconectado
Mensajes: 968
Conoce a tu enemigo como a tí mismo..
|
muy creativa! jajaja ibas como caperucita en un bosque de noche y lleno de lobos Gh057 hola si iba con mi cestita y con mucho miedo.. Si suele pasar pero en los archivos que comento son muy reales y no son falsos positivo pero gracias de todos modos por la info xD. luego todo lo demás serían bichitos Si muchos bichitos he recolectado en mi cestita.. Pd : Para intentar seguir en el hilo del honeypot casero , hay un problema que me desconcierta me tiene muy cabreada y es que con chkrootkit he encontrado un proceso lkm corriendo en el s.o y todo apunta a que es un troyano , ahora mismo no tengo la otra pc usada como honeypot pero mis dudas son : ¿Qué métodos puedo probar para dar con el proceso y así poder aislar el troyano? me puse tripwire para tener el s.o controlado pero por ciertas cuestiones lo quite y ahora no se DONDE puede estar con malware..Sé que me queda este proceso lkm pero no sé como abordarlo..¿Teneís alguna idea de lo que podria hacer?.
|
|
|
|
« Última modificación: 29 Marzo 2014, 18:56 pm por Jenag »
|
En línea
|
|
|
|
EFEX
Desconectado
Mensajes: 1.171
"Dinero Facil"
|
Me interesa mucho este tema desde un tiempo pero por falta de hardware no puedo., hay bastante para leer.. pero yo preferiria utilizar herramientas ya desarrolladas.. http://www.honeynet.org/projectIncluso podes crear diagramas con colores, herramientas que usan los atacantes, malware, logs, etc. |
|
|
|
|
En línea
|
|
|
|
Jenag
Desconectado
Mensajes: 968
Conoce a tu enemigo como a tí mismo..
|
Me interesa mucho este tema desde un tiempo pero por falta de hardware no puedo., hay bastante para leer.. pero yo preferiria utilizar herramientas ya desarrolladas.. No creo que por falta de hardware no puedas..¿Qué te falta de hardware para ti?..Si no te molesta que te lo pregunte. Efex hola , gracias por la info.. Estoy abierta a mas sugerencias y al problema que puse arriba.Sld2s..
|
|
|
|
|
En línea
|
|
|
|
Gh057
Desconectado
Mensajes: 1.190
|
hola Jenag, lo más práctico para mí a la hora de gestionar los procesos medianamente "normales" es el comando top
(o sus derivados, atop htop etc, estos últimos deben instalarse desde el apt) puedes tirar uno general, o bien ver los parámetros para aislarlo entre usuarios (-u) pid (-p) etc. el mismo en la última columna te especifica el comando que se está ejecutando. mientras abro otra terminal y con ps detallo más info del pid sospechoso: ps (pid)
ahí detalla la ruta en donde se encuentra el nefasto script, jej, luego con kill -9 pid (con -1 reinicia) o killall comando_indicado_en_top, lo matas
puedes también usar salidas de netstat, el mismo te arroja el pid que está utilizando el puerto. ahora bien... ya debes haber hecho lo anterior y no diste con el lkm.. al ser muy malévolo el adore/rookit que tienes en la canastita, el mismo puede ser transparente a ps y a todos sus parámetros, solo queda utilizar la herramienta unhide (lo ideal compilarla a mano de manera estática, pero bien puedes instalarla con apt-get install unhide) tiene muchisimos parámetros, los más usuales son sys ./unhide sys
(pemite detectar procesos ocultos y su ubicacion) y ./unhide proc, (o procall)
(muy interesante, permite ver a que herramientas es transparente el bichito) muestra tanto resultados en terminal como volcado en var/logs. saludos (agrego) perdón! el log lo tira en el mismo root cuando lo ejecutas... debe ser el único jaja XD |
|
|
|
« Última modificación: 29 Marzo 2014, 20:33 pm por Gh057 »
|
En línea
|
4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...
|
|
|
Jenag
Desconectado
Mensajes: 968
Conoce a tu enemigo como a tí mismo..
|
hola Jenag, lo más práctico para mí a la hora de gestionar los procesos medianamente "normales" es el comando top
(o sus derivados, atop htop etc, estos últimos deben instalarse desde el apt) puedes tirar uno general, o bien ver los parámetros para aislarlo entre usuarios (-u) pid (-p) etc. el mismo en la última columna te especifica el comando que se está ejecutando. mientras abro otra terminal y con ps detallo más info del pid sospechoso: ps (pid)
ahí detalla la ruta en donde se encuentra el nefasto script, jej, luego con kill -9 pid (con -1 reinicia) o killall comando_indicado_en_top, lo matas
puedes también usar salidas de netstat, el mismo te arroja el pid que está utilizando el puerto. ahora bien... ya debes haber hecho lo anterior y no diste con el lkm.. al ser muy malévolo el adore/rookit que tienes en la canastita, el mismo puede ser transparente a ps y a todos sus parámetros, solo queda utilizar la herramienta unhide (lo ideal compilarla a mano de manera estática, pero bien puedes instalarla con apt-get install unhide) tiene muchisimos parámetros, los más usuales son sys ./unhide sys
(pemite detectar procesos ocultos y su ubicacion) y ./unhide proc, (o procall)
(muy interesante, permite ver a que herramientas es transparente el bichito) muestra tanto resultados en terminal como volcado en var/logs. saludos (agrego) perdón! el log lo tira en el mismo root cuando lo ejecutas... debe ser el único jaja XD Gh057 gracias , dame tiempo para asimilarlo y haber que puedo hacer , ahora no estoy con el otro pc infectado..xD Es que me pregunté que pasaria si no utilizo tripwire en el s.o en cuestión pero bueno ahora que me has pasado tus ideas a la cestita tendré que ponerlo en práctica.. Para no desviar el hilo adjunto un poco de info sobre el honeypot : El mejor honeypot es poner un servidor en producción , aunque sea algo pequeño y empezar a analizar logs , con eso sí que se aprende.. Uno por el que se puede empezar seria : http://project.forat.info/project-2010-servidor-web-bajo-linux-ubuntu-server/http://www.forat.info/2008/03/05/como-montar-un-servidor-web-con-linux-debian/Y no estaría mal para probar y andar trasteando DVL.. http://www.aegis.pe/2013/12/damn-vulnerable-linux.htmlY virtualizar kali desde virtualbox seria una opción muy buena , como aprender seguridad y optimizacion en servidores gnu linux. Aunque personalmente me gusta mas los servidores basados en debian.xD
|
|
|
|
« Última modificación: 13 Abril 2014, 17:47 pm por Jenag »
|
En línea
|
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
|
Prueba de herramienta honeypot en RaspberryPi.
« 1 2 »
Seguridad
|
jlmacal
|
10
|
7,996
|
2 Noviembre 2013, 12:35 pm
por jlmacal
|
|
|
|
Fake AP ?(HONEYPOT)
Hacking Wireless
|
Swain
|
1
|
2,342
|
14 Octubre 2013, 22:36 pm
por P4nd3m0n1um
|
|
|
|
waf y honeypot
Dudas Generales
|
SSJirall
|
0
|
1,665
|
25 Noviembre 2017, 15:59 pm
por SSJirall
|
|
|
|
Honeypot
Hacking Wireless
|
fsociety
|
7
|
3,621
|
9 Febrero 2021, 00:09 am
por fsociety
|
|
|
|
Logs interesantes Honeypot SSH (Cowrie)
Bugs y Exploits
|
el-brujo
|
0
|
3,076
|
17 Febrero 2021, 16:07 pm
por el-brujo
|
 |
