honeypot

Dieses Jahr findet die zweite Glastopf-Zusammenkunft in Karlsruhe statt.
Näheres findet ihr unter:
http://dev.glastopf.org/wiki/glastopf/GlasCon
9l Vogelbräu gehen auf mich.
Aber erwartet keinen Vortrag von mir... :)

Ich habe einen interessanten Eintrag im Tracker dieses blogs gefunden.
Gesucht wurde per Google nach: Was ist bravo725,server4you.de
Das interessante ist aber, dass die Suche genau von diesem Server kam.
Dies könnt ihr euch hier anschauen:



Aber WAS ist bravo725 nun?
bravo725 ist ein Server der bei server4you steht.
Von oder über diesen Server wurde ein Angriff auf einen unserer honeypots ausgeführt.
Deswegen führt auch die Googlesuche hier hin.
Die gesuchten Informationen befinden sich hier:
http://blog.grospolina.net/archives/49-glastopf-rev.-128-master-db-und-mehr.html
Wahrscheinlich war der Server gehackt, möglicherweise ist er es noch.
Es ist auch durchaus möglich, dass dieser Server längst ein neues OS
und/oder einen neuen Mieter hat.
Das kann ich nicht nachprüfen.
Ich sammle nur Daten. Sonst nichts.

Installation des Glastopf Honeypot in der unstable Version
Heute will ich endlich die letzte Version vom Glastopf Webhoneypot installieren.
Ich schreibe dabei einfach mit und hoffe, dass dies eine Hilfe für euch sein kann,
falls ihr das gleiche Vorhaben habt

Schritt 1: Herunterladen der letzten Version
Zum Herunterladen der letzten unstable Version benötigen wir ein Programm namens Subversion.
Das kann man sich entweder mit "apt-get install subversion" installieren oder,
falls ihr kein "apt" habt, geht halt auf Subversion Download
Wenn das erledigt ist, kann es losgehen!
Der Befehl lautet:
"svn co svn://88.198.38.89:9090/branches/unstable glastopf"
Bei Erfolg seht ihr ein "Ausgecheckt, Revision 189.". Oder halt die aktuelle Revisionsnummer anstatt 189.

Schritt 2: Den Glastopf konfigurieren
Wir wechseln ins Verzeichnis "glastopf/conf".
Dort finden wir drei Dateien:
dbclient.cfg glastopf.cfg surfids.cfg
Schauen wir uns zunächst die "glastopf.cfg" an:
Wir tragen erstmal nur IP und Port und user/group ein.
Weil ich ja so neugierig bin starte ich den Glastopf einfachmal:

glasihasi@hasiserver$ python2.5 webserver.py

            __             __                ___
     .-----|  .---.-.-----|  |_.-----.-----.'  _|
     |  _  |  |  _  |__ --|   _|  _  |  _  |   _|
     |___  |__|___._|_____|____|_____|   __|__|
     |_____|by: lukas rist           |__|
     Version: 0.2.1

== Loading modules... ==
Logging modules loaded
Vulnerability path handling module loaded
URL handling module loaded
File retrieving and saving module loaded
Base64 decode module loaded
Echo parser loaded
Injected file parser module loaded
Echo parser loaded
Twitter logging module loaded
== All modules loaded ==
Dropping rights (if possible)
Changed files folder owner from: 0 to 1001
Changed uid from: 0 to 1001
Changed uid from: 0 to 1001
Changed umask from: 022 to 077
Starting Glastopf server, use  to stop.

Das sieht ja schonmal gut aus!

Wahrscheinlich will der aber bei euch nicht laufen,
weil noch Module fehlen oder kein Python installiert ist.

Schritt 3: Fehlende Module/Python installieren
"apt-get install python2.5 python-mysqldb"
Danach sollte es funktionieren.
Python-mysqldb liegt evt. im test-Pfad bei debian.


Fortsetzung folgt...

...anbei eine Liste von IRC-Servern, wohin pbots sich verbinden wollten.
Die Daten wurden mit einem Glastopf (webhoneypot) gesammelt.
Die Liste wurde generiert aus 28834 Dateien,
einige sind sehr alt, also haut mich nicht, wenn manche nicht mehr gehen,
da auch Einträge bis zurück zu November 2008 bearbeitet wurden.;)

Das Trennzeichen in der Liste ist ":".
Der Aufbau ist wie folgt:

$filename:$server:$port:$pass:$prefix:$maxrand:$chan:$chan2:$key:$modes:$password:$trigger:$hostauth

wobei filename die MD5sum des bots darstellt
Ich denke der Rest ist selbst erklärend.

Viel Spass mit der Liste, ich hoffe es sind noch aktive dabei. ;)

rfi bot Command&Control servers list

Einen Schnipp-Schnapp gibts hier:

Webpräsenz des Kreisverbandes Nordhausen der NPD von Indonesiern übernommen

Für die Serie "gehackte Parteienhomepages" hat sich erfolgreich die NPD beworben.
Ein bösliches Individuum namens "Anggun Pradesi" aus Indonesien benutzt derzeit
die Homepage der NPD Nordhausen als Verteiler für bots.
Nachdem ich ja schon die FDP und die SPD zwischen hatte,
muss ich, weil ich ja unpolitisch bin, natürlich auch über diesen Fund auf unseren honeypots berichten.
Freundlicherweise können wir uns den Index anzeigen lassen.

playmobile$ wget http://www.npd-nordhausen.de/files//redaxo/
--20:02:12--  http://www.npd-nordhausen.de/files//redaxo/
           => `index.html'
Resolving www.npd-nordhausen.de... 83.243.58.156
Connecting to www.npd-nordhausen.de|83.243.58.156|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 543 [text/html]
CODE:
playmobile$ cat index.html
....
<h1>Index of /files//redaxo</h1>
<ul><li><a href="/files//"> Parent Directory</a></li>
<li><a href="ade.txt"> ade.txt</a></li>
<li><a href="admin/"> admin/</a></li>
<li><a href="idade1.txt"> idade1.txt</a></li>
<li><a href="idade2.txt"> idade2.txt</a></li>
<li><a href="includes/"> includes/</a></li>
<li><a href="index.txt"> index.txt</a></li>
<li><a href="topmenu.php"> topmenu.php</a></li>
....
playmobile$ wget http://www.npd-nordhausen.de/files//redaxo/index.txt
--18:54:28--  http://www.npd-nordhausen.de/files//redaxo/index.txt
           => `index.txt'
Resolving www.npd-nordhausen.de... 83.243.58.156
Connecting to www.npd-nordhausen.de|83.243.58.156|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 4,558 (4.5K) [text/plain]

playmobile$ wget http://www.npd-nordhausen.de/files//redaxo/ade.txt
--18:52:56--  http://www.npd-nordhausen.de/files//redaxo/ade.txt
           => `ade.txt'
Resolving www.npd-nordhausen.de... 83.243.58.156
Connecting to www.npd-nordhausen.de|83.243.58.156|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 53,181 (52K) [text/plain]

playmobile$ wget http://www.npd-nordhausen.de/files//redaxo/idade1.txt
--18:53:40--  http://www.npd-nordhausen.de/files//redaxo/idade1.txt
           => `idade1.txt'
Resolving www.npd-nordhausen.de... 83.243.58.156
Connecting to www.npd-nordhausen.de|83.243.58.156|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 75 [text/plain]

playmobile$ wget http://www.npd-nordhausen.de/files//redaxo/idade2.txt
--18:53:47--  http://www.npd-nordhausen.de/files//redaxo/idade2.txt
           => `idade2.txt'
Resolving www.npd-nordhausen.de... 83.243.58.156
Connecting to www.npd-nordhausen.de|83.243.58.156|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 2,160 (2.1K) [text/plain]

Wie sich im Glasblog lesen lässt,
hat Lukas eine neue Version vom glastopf rausgehauen.
Das Changeset bringt unter anderem
LFI zurück, bietet ein irc interface...
Schaut es Euch an!
Zu dem Twittermodul sag ich mal nix :p

Gestern abend habe ich erstmal blöd aus der Wäsche geschaut.
In der db waren bei einem meiner Glastöpfe plötzlich keine mnt-by - Daten mehr bei.
Ein händisch eingetipptes Ansprechen des Servers mit NetCat brachte Gewissheit:
Die vielen Angriffe haben dazu geführt, dass die IP des Glastopfes blacklisted wurde.
Den admins bei RIPE hab ich eine mail geschrieben, mal sehen, was die so sagen.

Freundlicherweise dürfen wir nun den whois server bei 1&1 quälen,
womit das Problem zuvieler Anfragen erstmal ein wenig weggeschoben ist.
Danke an Mike dafür! (und den Hostmastern bei 1&1) :)

Die Änderungen im whois.py Modul in Revision 153 könnt ihr hier einsehen:
http://trac.glastopf.org/trac/changeset/153
Update:
Ein freundlicher Mensch @RIPE hat meine IP entblockt.
Hätte ich nicht gedacht, dass dies so schnell geht.

Im Glastopf wurde nun das Nutzen einer Datenbank,
in die verschiedene Glastöpfe ihre Daten ablegen können, implementiert.
Dem Nutzer steht es nun offen, nur in seine eigene Datenbank, nur in die Masterdb,
oder in beide zu schreiben.
Die Tabellenstruktur in der masterdb wurde soweit ausgedünnt,
dass nur noch für derer Zweck relevante Daten übertragen werden.
Projektmitglied Mike hat eine solche Datenbank aufgesetzt und
aktuell schreiben vier unabhängige Glastopf-Webhoneypots dort hinein.
Von den Daten der einzelnen Glastöpfe können nun alle,
die bei der Entwicklung helfen, profitieren.
Insbesondere macht das Sinn, wenn man die Module etwas bearbeitet hat,
und noch nicht sicher ist, ob die Änderung erfolgreich war.

Die Erfassung der mnt-by Einträge von den whois-Servern wurde auf das "Opfer" ausgedehnt.
Nun lassen sich durch einen einfachen mysql query alle IPs/domains aufspüren,
die für einen ISP und seine abuse/security Abteilung relevant sein könnten.
Also sowohl diese IPs, die als Angreifer fungieren, also wo der scanner oder Wurm läuft,
als auch die, die entsprechende bots/Skripte/shells auf dem System liegen haben,
höchstwahrscheinlich ohne etwas davon zu wissen.
Denn in den meisten Fällen sind das entweder Freehoster oder Opfer,
bei denen die bösartigen Skripte abgelegt werden.
Ein solcher query könnte z.B. für das INTERGENIA-Netz so aussehen:

Lukas Projekt ist beim GSoC angenommen worden.
...und noch erfreulicher ist, dass Thorsten Holz sein Mentor sein wird.

Besser hätte es nicht kommen können...
Ich wünsche Lukas viel Erfolg,
und freue mich auf die neuen Revisionen !

Neue Funktion im Glastopf webhoneypot

Unser neues Projektmitglied Mike hat eine interessante Frage gestellt.
Ich habe daraufhin ein Ticket in unserer Projektverwaltung eröffnet.

Zusammengefasst kann man es so ausdrücken:

Wie können wir das Betreiben eines Glastopfes für Provider/Netzbetreiber interessant machen?
Indem wir die Verwertbarkeit und damit gekoppelt die Typisierung der Felder unserer Datenbank anpassen,
oder indem wir entsprechende Felder hinzufügen.
Ein Provider möchte zunächst erfassen was in seinem Netz abläuft.
Somit wird erwartet, dass unser Werkzeug zum Beispiel alle Angreifer aus dem Intergenia Netz benennen kann.
Konkret heisst das, wir müssen die IP des Angreifers dem Netz zuordnen können.
glaslos hat ein kleines whois.py-Modul aus dem Ärmel geschüttelt,
welches diese Forderung erfüllt.