elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Honeypot casero..
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Honeypot casero..  (Leído 4,823 veces)
Jenag


Desconectado Desconectado

Mensajes: 968


Conoce a tu enemigo como a tí mismo..


Ver Perfil
Honeypot casero..
« en: 27 Marzo 2014, 23:31 pm »

Hola amig@s EHN me he hecho con el s.o kali-linux-1.0.5-amd64 y en la medida de lo posible me he creado un honeypot , teniendo el s.o lo mas desactualizado posible y con muchas brechas en la seguridad , he ido navegando por los sitios de la red mas hostiles que me he podido conectar ,
como por la Deep Web como en la superficie , recibiendo multitud de ataques y atacandome con muchos exploits , mi s.o casi se colapsa por tanto malware.
Puntualizar que con un chkrootkit al s.o en kali linux antes de nada ya viene instalado , creo que es un tipo de malware worm como es Adore-Worm-dradis y siguiendo puntualizando que el kernel de kali el 3.7 me detecta con clamav que vmlinuz-3.7-trunk-amd64 contiene algún malware y me lo elimina del s.o , por eso si alguién hace pruebas con clamav y tiene dicho kernel en versiones anteriores y posteriores de este kernel también ha sido eliminado por clamav por considerarlo como malware..Por eso es recomendable tener algún kernel demás para no quedarnos sin el s.o.
Aquí muestro el sumario del escaneo de clamav :

Código:
----------- SCAN SUMMARY -----------
Known viruses: 3224082
Engine version: 0.97.8
Scanned directories: 30906
Scanned files: 296915
Infected files: 1115
Total errors: 11646
Data scanned: 14456.16 MB
Data read: 12324.61 MB (ratio 1.17:1)
Time: 6104.734 sec (101 m 44 s)

Como se puede apreciar aunque no son pruebas muy precisas , que en el sistema operativo me colaron 1.115 malware de muy diversos , entre ellos troyanos , gusanos , etcétera..Como soy muy nobata en el tema no puedo de momento ver las técnicas empleadas para asaltarme el honeypot pero
con el tiempo todos los datos que pueda ir recolectando la suministraré , estaré encantada de hacerlo para su estudio.

Para poder aislar todo el malware encontrado en el s.o he utilizado clamav de la siguiente forma :

Código:
clamscan -v -r --bell --move /home/Eva/malware --log /home/Eva/virus/malware.log --heuristic-scan-precedence --detect-broken --algorithmic-detection --exclude-dir=/proc --exclude-dir=/media --recursive=yes /

Donde con --bell para que suene el malware encontrado , --move mueva lo encontrado al directorio que queramos y --log nos cree un registro de lo encontrado.
sldos. :-*


En línea

Para comentarme algo : Evamr1991@openmailbox.org : Válido para Bots y Robots..
engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: Honeypot casero..
« Respuesta #1 en: 27 Marzo 2014, 23:38 pm »

cool :P ahora tienes un montón de juguetitos para desarmar y ver que hacían! XD la forencia de datos en cool, no soy muy dado a eso (no se me da mucho la ing inversa) pero me gustaría eventualmente ponerme a eso ;) ya se como empezar!


En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Jenag


Desconectado Desconectado

Mensajes: 968


Conoce a tu enemigo como a tí mismo..


Ver Perfil
Re: Honeypot casero..
« Respuesta #2 en: 27 Marzo 2014, 23:44 pm »

cool :P ahora tienes un montón de juguetitos para desarmar y ver que hacían! XD la forencia de datos en cool, no soy muy dado a eso (no se me da mucho la ing inversa) pero me gustaría eventualmente ponerme a eso ;) ya se como empezar!
Engelx me gusta que te guste.xD. :-*
En línea

Para comentarme algo : Evamr1991@openmailbox.org : Válido para Bots y Robots..
Gh057


Desconectado Desconectado

Mensajes: 1.190



Ver Perfil
Re: Honeypot casero..
« Respuesta #3 en: 28 Marzo 2014, 01:13 am »

muy creativa! jajaja ibas como caperucita en un bosque de noche y lleno de lobos  >:D

tan solo una observación si tiras tanto chkrookit como rkhunter, tienes 2 o 3 falsos positivos desde el inicio; no los detecta como infecciones pero si como warning; por ejemplo, enlaces del kernel, etc:

-> http://www.chkrootkit.org/faq/
-> http://rkhunter.cvs.sourceforge.net/viewvc/rkhunter/rkhunter/files/FAQ

luego todo lo demás serían bichitos  ;D
En línea

4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...
Jenag


Desconectado Desconectado

Mensajes: 968


Conoce a tu enemigo como a tí mismo..


Ver Perfil
Re: Honeypot casero..
« Respuesta #4 en: 29 Marzo 2014, 16:20 pm »

Citar
muy creativa! jajaja ibas como caperucita en un bosque de noche y lleno de lobos  >:D
Gh057 hola si iba con mi cestita y con mucho miedo..

Citar
tan solo una observación si tiras tanto chkrookit como rkhunter, tienes 2 o 3 falsos positivos desde el inicio; no los detecta como infecciones pero si como warning; por ejemplo, enlaces del kernel, etc:

-> http://www.chkrootkit.org/faq/
-> http://rkhunter.cvs.sourceforge.net/viewvc/rkhunter/rkhunter/files/FAQ
Si suele pasar pero en los archivos que comento son muy reales y no son falsos positivo pero gracias de todos modos por la info xD.

Citar
luego todo lo demás serían bichitos  ;D
Citar

Si muchos bichitos he recolectado en mi cestita..

Pd : Para intentar seguir en el hilo del honeypot casero , hay un problema que me desconcierta me tiene muy cabreada y es que con chkrootkit he encontrado un proceso lkm corriendo en el s.o y todo apunta a que es un troyano , ahora mismo no tengo la otra pc usada como honeypot pero mis dudas son :
¿Qué métodos puedo probar para dar con el proceso y así poder aislar el troyano?
me puse tripwire para tener el s.o controlado pero por ciertas cuestiones lo quite y ahora no se DONDE puede estar con malware..Sé que me queda este proceso lkm pero no sé como abordarlo..¿Teneís alguna idea de lo que podria hacer?. :-*
« Última modificación: 29 Marzo 2014, 18:56 pm por Jenag » En línea

Para comentarme algo : Evamr1991@openmailbox.org : Válido para Bots y Robots..
EFEX


Desconectado Desconectado

Mensajes: 1.171


"Dinero Facil"


Ver Perfil WWW
Re: Honeypot casero..
« Respuesta #5 en: 29 Marzo 2014, 17:35 pm »

Me interesa mucho este tema desde un tiempo pero por falta de hardware no puedo., hay bastante para leer.. pero yo preferiria utilizar herramientas ya desarrolladas..

http://www.honeynet.org/project

Incluso podes crear diagramas con colores, herramientas que usan los atacantes, malware, logs, etc.
En línea

Jenag


Desconectado Desconectado

Mensajes: 968


Conoce a tu enemigo como a tí mismo..


Ver Perfil
Re: Honeypot casero..
« Respuesta #6 en: 29 Marzo 2014, 19:03 pm »

Citar
Me interesa mucho este tema desde un tiempo pero por falta de hardware no puedo., hay bastante para leer.. pero yo preferiria utilizar herramientas ya desarrolladas..
No creo que por falta de hardware no puedas..¿Qué te falta de hardware para ti?..Si no te molesta que te lo pregunte.

Citar
http://www.honeynet.org/project

Incluso podes crear diagramas con colores, herramientas que usan los atacantes, malware, logs, etc.
Efex hola , gracias por la info.. :-*

Estoy abierta a mas sugerencias y al problema que puse arriba.Sld2s.. :-*
En línea

Para comentarme algo : Evamr1991@openmailbox.org : Válido para Bots y Robots..
Gh057


Desconectado Desconectado

Mensajes: 1.190



Ver Perfil
Re: Honeypot casero..
« Respuesta #7 en: 29 Marzo 2014, 19:43 pm »

hola Jenag, lo más práctico para mí a la hora de gestionar los procesos medianamente "normales" es el comando
Código:
top
(o sus derivados, atop htop etc, estos últimos deben instalarse desde el apt)

puedes tirar uno general, o bien ver los parámetros para aislarlo entre usuarios (-u) pid (-p) etc.
el mismo en la última columna te especifica el comando que se está ejecutando.

mientras abro otra terminal y con ps detallo más info del pid sospechoso:
Código:
ps (pid)
ahí detalla la ruta en donde se encuentra el nefasto script, jej, luego con
Código:
kill -9 pid (con -1 reinicia) o killall comando_indicado_en_top, lo matas
puedes también usar salidas de netstat, el mismo te arroja el pid que está utilizando el puerto.

ahora bien... ya debes haber hecho lo anterior y no diste con el lkm.. al ser muy malévolo el adore/rookit que tienes en la canastita, el mismo puede ser transparente a ps y a todos sus parámetros, solo queda utilizar la herramienta unhide (lo ideal compilarla a mano de manera estática, pero bien puedes instalarla con apt-get install unhide)

tiene muchisimos parámetros, los más usuales son sys
Código:
./unhide sys
(pemite detectar procesos ocultos y su ubicacion) y
Código:
./unhide proc, (o procall)
(muy interesante, permite ver a que herramientas es transparente el bichito)
muestra tanto resultados en terminal como volcado en var/logs.
saludos

(agrego) perdón! el log lo tira en el mismo root cuando lo ejecutas... debe ser el único jaja XD
« Última modificación: 29 Marzo 2014, 20:33 pm por Gh057 » En línea

4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...
Jenag


Desconectado Desconectado

Mensajes: 968


Conoce a tu enemigo como a tí mismo..


Ver Perfil
Re: Honeypot casero..
« Respuesta #8 en: 29 Marzo 2014, 21:40 pm »

hola Jenag, lo más práctico para mí a la hora de gestionar los procesos medianamente "normales" es el comando
Código:
top
(o sus derivados, atop htop etc, estos últimos deben instalarse desde el apt)

puedes tirar uno general, o bien ver los parámetros para aislarlo entre usuarios (-u) pid (-p) etc.
el mismo en la última columna te especifica el comando que se está ejecutando.

mientras abro otra terminal y con ps detallo más info del pid sospechoso:
Código:
ps (pid)
ahí detalla la ruta en donde se encuentra el nefasto script, jej, luego con
Código:
kill -9 pid (con -1 reinicia) o killall comando_indicado_en_top, lo matas
puedes también usar salidas de netstat, el mismo te arroja el pid que está utilizando el puerto.

ahora bien... ya debes haber hecho lo anterior y no diste con el lkm.. al ser muy malévolo el adore/rookit que tienes en la canastita, el mismo puede ser transparente a ps y a todos sus parámetros, solo queda utilizar la herramienta unhide (lo ideal compilarla a mano de manera estática, pero bien puedes instalarla con apt-get install unhide)

tiene muchisimos parámetros, los más usuales son sys
Código:
./unhide sys
(pemite detectar procesos ocultos y su ubicacion) y
Código:
./unhide proc, (o procall)
(muy interesante, permite ver a que herramientas es transparente el bichito)
muestra tanto resultados en terminal como volcado en var/logs.
saludos

(agrego) perdón! el log lo tira en el mismo root cuando lo ejecutas... debe ser el único jaja XD

Gh057 gracias , dame tiempo para asimilarlo y haber que puedo hacer , ahora no estoy con el otro pc infectado..xD

Es que me pregunté que pasaria si no utilizo tripwire en el s.o en cuestión pero bueno ahora que me has pasado tus ideas a la cestita tendré que ponerlo en práctica..

Para no desviar el hilo adjunto un poco de info sobre el honeypot :

El mejor honeypot es poner un servidor en producción , aunque sea algo pequeño y empezar a analizar logs , con eso sí que se aprende..
Uno por el que se puede empezar seria :

http://project.forat.info/project-2010-servidor-web-bajo-linux-ubuntu-server/

http://www.forat.info/2008/03/05/como-montar-un-servidor-web-con-linux-debian/

Y no estaría mal para probar y andar trasteando DVL..

http://www.aegis.pe/2013/12/damn-vulnerable-linux.html

Y virtualizar kali desde virtualbox seria una opción muy buena , como aprender seguridad y optimizacion en servidores gnu linux.
Aunque personalmente me gusta mas los servidores basados en debian.xD  :-*
« Última modificación: 13 Abril 2014, 17:47 pm por Jenag » En línea

Para comentarme algo : Evamr1991@openmailbox.org : Válido para Bots y Robots..
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Prueba de herramienta honeypot en RaspberryPi. « 1 2 »
Seguridad
jlmacal 10 8,596 Último mensaje 2 Noviembre 2013, 12:35 pm
por jlmacal
Fake AP ?(HONEYPOT)
Hacking Wireless
Swain 1 2,582 Último mensaje 14 Octubre 2013, 22:36 pm
por P4nd3m0n1um
waf y honeypot
Dudas Generales
SSJirall 0 1,885 Último mensaje 25 Noviembre 2017, 15:59 pm
por SSJirall
Honeypot
Hacking Wireless
fsociety 7 4,046 Último mensaje 9 Febrero 2021, 00:09 am
por fsociety
Logs interesantes Honeypot SSH (Cowrie)
Bugs y Exploits
el-brujo 0 3,410 Último mensaje 17 Febrero 2021, 16:07 pm
por el-brujo
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines