nepenthes

Da ich gerade mit amun spiele (auf der neuen box),
um von nepenthes auf amun umzustellen,
habe ich mir gedacht,
ich füge mal ein Kategorie hinzu und berichte ab und an,
ob Fortschritte zu verzeichnen sind.

nachdem ich ja in [nepenthes] vncmoo beschrieben habe,
war der ansatz eigentlich zu versuchen FOOBAR-MUTTER in den empfangenen daten zu finden.
dies ist jedoch nicht wirklich nötig.
es reicht durchaus festzustellen ,dass wir stage4 erreicht haben,
wenn wir die vier empfangenden bytes testen.
wir erwarten 00 00 00 00.
ich habe das mal hinzugefügt und denke, ich werds mal darauf beruhen lassen.
den src könnt ihr euch auf grospolina.org anschauen:
quellcode-dateien:
vncmoo.cpp
vncmoo.h
ihr müsst zum implementieren in einen rbot natürlich noch ein paar andere projektquelldateien anpassen. könnt ihr doch?

wie auch immer, ihr solltet trotzdem den hostnamen, wie im vorigen artikel beschrieben, ändern,
falls ihr nepenthes am laufen habt und das vuln-realvnc modul nutzt.

viel spass beim rumspielen
:)

Wer einmal google nach FOOBAR-MUTTER ausschau halten lässt,
wird sehen, wie einfach es ist, das vuln-realvnc modul und damit nepenthes auf einem rechner nachzuweisen.
Es ist leicht möglich dieses zB. in einen rbot einzubauen.
Das auf ryan gepostete material wird den bot crashen, es war nur eine idee
und es war nicht geplant irgendwelchen skiddies damit etwas brauchbares in die finger zu geben.
Wer jedoch wirklich ausprobieren will, ob sein nepenthes honeypot dadurch entdeckt werden kann,
der kann sich auf offensivecomputing.net den rbotsource runterladen,
diesen compilen und ein vncmoo modul hinzufügen.
Ich werde bestimmt nicht hier erzählen, wie man das im einzelnen macht.
Ich möchte nur darauf hinweisen, dass es funktioniert.
...und jeder, der nicht entdeckt werden möchte, sollte sich einmal gedanken darum machen,
ob er dieses (vuln-realvnc) modul wirklich braucht oder ob es jemals einen wurm bekommen hat.