Der Glastopf nimmt langsam Gestalt an.
Was ist der Glastopf?
Der Glastopf ist ein in
python geschriebener Webhoneypot.
Er baut darauf auf, dass die
RFI scanner google dorks benutzen.
Anfragen an den Glastopf werden in einer Mysql-Datenbank abgelegt,
erfolgreich heruntergeladene Skripte werden mit dem Dateinamen der MD5-Summe auf der Festplatte gespeichert.
Die Rückgabe an den Angreifer wird über ein leicht zu erweiterndes
parseline Modul erreicht.
Sofern die Rückgabe auf Gefallen stösst, erhalten wir auch die nachgeladenen Skripte.
Ein einfach zu bearbeitendes
Webinterface ist eine weitere Komponente.
Selbstverständlich ist der
Glastopf als experimentelle Software zu sehen.
Wo kann man den glastopf herunterladen?
Für das Glastopf-Projekt gibt es eine subversion-Verwaltung.
Zudem stehen tarballs zur Verfügung.
In den svn branches findet Ihr zusätzlich eine funktionsreichere Version des Webinterfaces als auch einen unstable und testing-Zweig des Honigtopfes.
Bitte besucht
http://trac.1durch0.de/trac/wiki/GlastopfDocumentation.
Dort findet Ihr auch kurze Anleitungen zur Installation auf debian, winXP und OS-X.
Ein kurzer Blick auf das Webinterface
Ich habe ein paar screenshots von der bei mir laufenden Version des Webinterfaces (branches/wi-unstable) gemacht.
Die Namen der angegriffenen Hosts habe ich mit dem Eimer schwarzer Farbe gefüllt.
So lässt sich noch erkennen, welche Einträge gleich sind.
Die Hauptseite:
Klicken zum Vergrössern!
Die ID, das auto_increment der Datenbank, ist verlinkt mit einem Report:
Klicken zum Vergrössern!
Über eine Klick auf die IP gelangen wir zur whois page:
Klicken zum Vergrössern
Über den link "search for attacks from IP" erreichen wir die Suchseite:
Klicken zum Vergrössern
Wie alles begann
Irgendwann hatte ich
glaslos von meinem honeyd script erzählt,
welches eine minimale Interaktivität mitbringt, die reicht, um bei RFI Attacken das Nachladen des
spreaders oder einer
shell zu provozieren.
Ein paar Tage später fragte er mich, ob ich ihm dieses script mal schicken könnte.
Wiederum ein paar Tage später präsentierte er mir zu meiner Überraschung die erste Version, eine Migration geschrieben in
python.
Ein paar Zahlen
Meine trunk version rennt nun seit dem 4.11.2008 und hat seit diesem Tag 651897
unique hits zu verzeichnen.
Diese Angriffe führten zu 14.949 Dateien.
Zusätzlich betreibe ich noch einen zweiten Glastopf, der die aktuelle
Unstable nutzt.
Was geplant ist
In der Planung ist eine zentrale Datenbank, in die Nutzer des Glastopfes schreiben und anderer Einträge lesen können.
Die Form steht noch zur Debatte.
Das Update der index-Datei über eine Datenbank, gebunden an
milw0rm und ähnliches.
Die Ausweitung auf SQLinjection Angriffe,
und erweiterte Unterstützung für LFI.
Für das Webinterface wären ein paar Statistiken und bunte Kuchen auch ganz schön anzusehn.
Wer mithelfen kann
Mithelfen kann eigentlich jeder, der sich für diese Themen interessiert.
Feedback ist immer erwünscht.
Jeder, der den Glastopf probiert, sollte Rückmeldung geben.
Es steht jedem offen, ein Ticket im
Trac zu erstellen.
Ansonsten:
Ich persönlich fänd es fein, wenn jemand sich mit den Statistiken beschäftigen würde,
während glaslos wohl eher die malware-db will. :)
Ein kleines Danke an alle!
Danke erstmal an alle, die mich ertragen.
Speziell an Lukas, dass er dieses Projekt aus dem Boden gestampft hat,
ich persönlich halte es für einen Meilenstein.
Danke auch an die Leute, die mit weiteren Skripten und Ideen, uns unterstützen.
Wohlwollend möchte ich noch nirgil vom tschechischen honeynet Projekt danken
für das entgegengebrachte Vertrauen und datentechnische Ünterstützung.
bis dahin,
kat