glastopf

Dieses Jahr findet die zweite Glastopf-Zusammenkunft in Karlsruhe statt.
Näheres findet ihr unter:
http://dev.glastopf.org/wiki/glastopf/GlasCon
9l Vogelbräu gehen auf mich.
Aber erwartet keinen Vortrag von mir... :)

Installation des Glastopf Honeypot in der unstable Version
Heute will ich endlich die letzte Version vom Glastopf Webhoneypot installieren.
Ich schreibe dabei einfach mit und hoffe, dass dies eine Hilfe für euch sein kann,
falls ihr das gleiche Vorhaben habt

Schritt 1: Herunterladen der letzten Version
Zum Herunterladen der letzten unstable Version benötigen wir ein Programm namens Subversion.
Das kann man sich entweder mit "apt-get install subversion" installieren oder,
falls ihr kein "apt" habt, geht halt auf Subversion Download
Wenn das erledigt ist, kann es losgehen!
Der Befehl lautet:
"svn co svn://88.198.38.89:9090/branches/unstable glastopf"
Bei Erfolg seht ihr ein "Ausgecheckt, Revision 189.". Oder halt die aktuelle Revisionsnummer anstatt 189.

Schritt 2: Den Glastopf konfigurieren
Wir wechseln ins Verzeichnis "glastopf/conf".
Dort finden wir drei Dateien:
dbclient.cfg glastopf.cfg surfids.cfg
Schauen wir uns zunächst die "glastopf.cfg" an:
Wir tragen erstmal nur IP und Port und user/group ein.
Weil ich ja so neugierig bin starte ich den Glastopf einfachmal:

glasihasi@hasiserver$ python2.5 webserver.py

            __             __                ___
     .-----|  .---.-.-----|  |_.-----.-----.'  _|
     |  _  |  |  _  |__ --|   _|  _  |  _  |   _|
     |___  |__|___._|_____|____|_____|   __|__|
     |_____|by: lukas rist           |__|
     Version: 0.2.1

== Loading modules... ==
Logging modules loaded
Vulnerability path handling module loaded
URL handling module loaded
File retrieving and saving module loaded
Base64 decode module loaded
Echo parser loaded
Injected file parser module loaded
Echo parser loaded
Twitter logging module loaded
== All modules loaded ==
Dropping rights (if possible)
Changed files folder owner from: 0 to 1001
Changed uid from: 0 to 1001
Changed uid from: 0 to 1001
Changed umask from: 022 to 077
Starting Glastopf server, use  to stop.

Das sieht ja schonmal gut aus!

Wahrscheinlich will der aber bei euch nicht laufen,
weil noch Module fehlen oder kein Python installiert ist.

Schritt 3: Fehlende Module/Python installieren
"apt-get install python2.5 python-mysqldb"
Danach sollte es funktionieren.
Python-mysqldb liegt evt. im test-Pfad bei debian.


Fortsetzung folgt...

...anbei eine Liste von IRC-Servern, wohin pbots sich verbinden wollten.
Die Daten wurden mit einem Glastopf (webhoneypot) gesammelt.
Die Liste wurde generiert aus 28834 Dateien,
einige sind sehr alt, also haut mich nicht, wenn manche nicht mehr gehen,
da auch Einträge bis zurück zu November 2008 bearbeitet wurden.;)

Das Trennzeichen in der Liste ist ":".
Der Aufbau ist wie folgt:

$filename:$server:$port:$pass:$prefix:$maxrand:$chan:$chan2:$key:$modes:$password:$trigger:$hostauth

wobei filename die MD5sum des bots darstellt
Ich denke der Rest ist selbst erklärend.

Viel Spass mit der Liste, ich hoffe es sind noch aktive dabei. ;)

rfi bot Command&Control servers list

Einen Schnipp-Schnapp gibts hier:

Webpräsenz des Kreisverbandes Nordhausen der NPD von Indonesiern übernommen

Für die Serie "gehackte Parteienhomepages" hat sich erfolgreich die NPD beworben.
Ein bösliches Individuum namens "Anggun Pradesi" aus Indonesien benutzt derzeit
die Homepage der NPD Nordhausen als Verteiler für bots.
Nachdem ich ja schon die FDP und die SPD zwischen hatte,
muss ich, weil ich ja unpolitisch bin, natürlich auch über diesen Fund auf unseren honeypots berichten.
Freundlicherweise können wir uns den Index anzeigen lassen.

playmobile$ wget http://www.npd-nordhausen.de/files//redaxo/
--20:02:12--  http://www.npd-nordhausen.de/files//redaxo/
           => `index.html'
Resolving www.npd-nordhausen.de... 83.243.58.156
Connecting to www.npd-nordhausen.de|83.243.58.156|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 543 [text/html]
CODE:
playmobile$ cat index.html
....
<h1>Index of /files//redaxo</h1>
<ul><li><a href="/files//"> Parent Directory</a></li>
<li><a href="ade.txt"> ade.txt</a></li>
<li><a href="admin/"> admin/</a></li>
<li><a href="idade1.txt"> idade1.txt</a></li>
<li><a href="idade2.txt"> idade2.txt</a></li>
<li><a href="includes/"> includes/</a></li>
<li><a href="index.txt"> index.txt</a></li>
<li><a href="topmenu.php"> topmenu.php</a></li>
....
playmobile$ wget http://www.npd-nordhausen.de/files//redaxo/index.txt
--18:54:28--  http://www.npd-nordhausen.de/files//redaxo/index.txt
           => `index.txt'
Resolving www.npd-nordhausen.de... 83.243.58.156
Connecting to www.npd-nordhausen.de|83.243.58.156|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 4,558 (4.5K) [text/plain]

playmobile$ wget http://www.npd-nordhausen.de/files//redaxo/ade.txt
--18:52:56--  http://www.npd-nordhausen.de/files//redaxo/ade.txt
           => `ade.txt'
Resolving www.npd-nordhausen.de... 83.243.58.156
Connecting to www.npd-nordhausen.de|83.243.58.156|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 53,181 (52K) [text/plain]

playmobile$ wget http://www.npd-nordhausen.de/files//redaxo/idade1.txt
--18:53:40--  http://www.npd-nordhausen.de/files//redaxo/idade1.txt
           => `idade1.txt'
Resolving www.npd-nordhausen.de... 83.243.58.156
Connecting to www.npd-nordhausen.de|83.243.58.156|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 75 [text/plain]

playmobile$ wget http://www.npd-nordhausen.de/files//redaxo/idade2.txt
--18:53:47--  http://www.npd-nordhausen.de/files//redaxo/idade2.txt
           => `idade2.txt'
Resolving www.npd-nordhausen.de... 83.243.58.156
Connecting to www.npd-nordhausen.de|83.243.58.156|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 2,160 (2.1K) [text/plain]

Wie sich im Glasblog lesen lässt,
hat Lukas eine neue Version vom glastopf rausgehauen.
Das Changeset bringt unter anderem
LFI zurück, bietet ein irc interface...
Schaut es Euch an!
Zu dem Twittermodul sag ich mal nix :p

Gestern abend habe ich erstmal blöd aus der Wäsche geschaut.
In der db waren bei einem meiner Glastöpfe plötzlich keine mnt-by - Daten mehr bei.
Ein händisch eingetipptes Ansprechen des Servers mit NetCat brachte Gewissheit:
Die vielen Angriffe haben dazu geführt, dass die IP des Glastopfes blacklisted wurde.
Den admins bei RIPE hab ich eine mail geschrieben, mal sehen, was die so sagen.

Freundlicherweise dürfen wir nun den whois server bei 1&1 quälen,
womit das Problem zuvieler Anfragen erstmal ein wenig weggeschoben ist.
Danke an Mike dafür! (und den Hostmastern bei 1&1) :)

Die Änderungen im whois.py Modul in Revision 153 könnt ihr hier einsehen:
http://trac.glastopf.org/trac/changeset/153
Update:
Ein freundlicher Mensch @RIPE hat meine IP entblockt.
Hätte ich nicht gedacht, dass dies so schnell geht.

Im Glastopf wurde nun das Nutzen einer Datenbank,
in die verschiedene Glastöpfe ihre Daten ablegen können, implementiert.
Dem Nutzer steht es nun offen, nur in seine eigene Datenbank, nur in die Masterdb,
oder in beide zu schreiben.
Die Tabellenstruktur in der masterdb wurde soweit ausgedünnt,
dass nur noch für derer Zweck relevante Daten übertragen werden.
Projektmitglied Mike hat eine solche Datenbank aufgesetzt und
aktuell schreiben vier unabhängige Glastopf-Webhoneypots dort hinein.
Von den Daten der einzelnen Glastöpfe können nun alle,
die bei der Entwicklung helfen, profitieren.
Insbesondere macht das Sinn, wenn man die Module etwas bearbeitet hat,
und noch nicht sicher ist, ob die Änderung erfolgreich war.

Die Erfassung der mnt-by Einträge von den whois-Servern wurde auf das "Opfer" ausgedehnt.
Nun lassen sich durch einen einfachen mysql query alle IPs/domains aufspüren,
die für einen ISP und seine abuse/security Abteilung relevant sein könnten.
Also sowohl diese IPs, die als Angreifer fungieren, also wo der scanner oder Wurm läuft,
als auch die, die entsprechende bots/Skripte/shells auf dem System liegen haben,
höchstwahrscheinlich ohne etwas davon zu wissen.
Denn in den meisten Fällen sind das entweder Freehoster oder Opfer,
bei denen die bösartigen Skripte abgelegt werden.
Ein solcher query könnte z.B. für das INTERGENIA-Netz so aussehen:

Lukas Projekt ist beim GSoC angenommen worden.
...und noch erfreulicher ist, dass Thorsten Holz sein Mentor sein wird.

Besser hätte es nicht kommen können...
Ich wünsche Lukas viel Erfolg,
und freue mich auf die neuen Revisionen !

Neue Funktion im Glastopf webhoneypot

Unser neues Projektmitglied Mike hat eine interessante Frage gestellt.
Ich habe daraufhin ein Ticket in unserer Projektverwaltung eröffnet.

Zusammengefasst kann man es so ausdrücken:

Wie können wir das Betreiben eines Glastopfes für Provider/Netzbetreiber interessant machen?
Indem wir die Verwertbarkeit und damit gekoppelt die Typisierung der Felder unserer Datenbank anpassen,
oder indem wir entsprechende Felder hinzufügen.
Ein Provider möchte zunächst erfassen was in seinem Netz abläuft.
Somit wird erwartet, dass unser Werkzeug zum Beispiel alle Angreifer aus dem Intergenia Netz benennen kann.
Konkret heisst das, wir müssen die IP des Angreifers dem Netz zuordnen können.
glaslos hat ein kleines whois.py-Modul aus dem Ärmel geschüttelt,
welches diese Forderung erfüllt.

Der Glastopf nimmt langsam Gestalt an.

Was ist der Glastopf?
Der Glastopf ist ein in python geschriebener Webhoneypot.
Er baut darauf auf, dass die RFI scanner google dorks benutzen.
Anfragen an den Glastopf werden in einer Mysql-Datenbank abgelegt,
erfolgreich heruntergeladene Skripte werden mit dem Dateinamen der MD5-Summe auf der Festplatte gespeichert.
Die Rückgabe an den Angreifer wird über ein leicht zu erweiterndes parseline Modul erreicht.
Sofern die Rückgabe auf Gefallen stösst, erhalten wir auch die nachgeladenen Skripte.
Ein einfach zu bearbeitendes Webinterface ist eine weitere Komponente.
Selbstverständlich ist der Glastopf als experimentelle Software zu sehen.

Wo kann man den glastopf herunterladen?
Für das Glastopf-Projekt gibt es eine subversion-Verwaltung.
Zudem stehen tarballs zur Verfügung.
In den svn branches findet Ihr zusätzlich eine funktionsreichere Version des Webinterfaces als auch einen unstable und testing-Zweig des Honigtopfes.
Bitte besucht http://trac.1durch0.de/trac/wiki/GlastopfDocumentation.
Dort findet Ihr auch kurze Anleitungen zur Installation auf debian, winXP und OS-X.

Ein kurzer Blick auf das Webinterface
Ich habe ein paar screenshots von der bei mir laufenden Version des Webinterfaces (branches/wi-unstable) gemacht.
Die Namen der angegriffenen Hosts habe ich mit dem Eimer schwarzer Farbe gefüllt.
So lässt sich noch erkennen, welche Einträge gleich sind.
Die Hauptseite:


Klicken zum Vergrössern!

Die ID, das auto_increment der Datenbank, ist verlinkt mit einem Report:


Klicken zum Vergrössern!

Über eine Klick auf die IP gelangen wir zur whois page:

Klicken zum Vergrössern

Über den link "search for attacks from IP" erreichen wir die Suchseite:

Klicken zum Vergrössern


Wie alles begann
Irgendwann hatte ich glaslos von meinem honeyd script erzählt,
welches eine minimale Interaktivität mitbringt, die reicht, um bei RFI Attacken das Nachladen des spreaders oder einer shell zu provozieren.
Ein paar Tage später fragte er mich, ob ich ihm dieses script mal schicken könnte.
Wiederum ein paar Tage später präsentierte er mir zu meiner Überraschung die erste Version, eine Migration geschrieben in python.

Ein paar Zahlen
Meine trunk version rennt nun seit dem 4.11.2008 und hat seit diesem Tag 651897 unique hits zu verzeichnen.
Diese Angriffe führten zu 14.949 Dateien.
Zusätzlich betreibe ich noch einen zweiten Glastopf, der die aktuelle Unstable nutzt.

Was geplant ist
In der Planung ist eine zentrale Datenbank, in die Nutzer des Glastopfes schreiben und anderer Einträge lesen können.
Die Form steht noch zur Debatte.
Das Update der index-Datei über eine Datenbank, gebunden an milw0rm und ähnliches.
Die Ausweitung auf SQLinjection Angriffe,
und erweiterte Unterstützung für LFI.
Für das Webinterface wären ein paar Statistiken und bunte Kuchen auch ganz schön anzusehn.

Wer mithelfen kann
Mithelfen kann eigentlich jeder, der sich für diese Themen interessiert.
Feedback ist immer erwünscht.
Jeder, der den Glastopf probiert, sollte Rückmeldung geben.
Es steht jedem offen, ein Ticket im Trac zu erstellen.
Ansonsten:
Ich persönlich fänd es fein, wenn jemand sich mit den Statistiken beschäftigen würde,
während glaslos wohl eher die malware-db will. :)

Ein kleines Danke an alle!
Danke erstmal an alle, die mich ertragen.
Speziell an Lukas, dass er dieses Projekt aus dem Boden gestampft hat,
ich persönlich halte es für einen Meilenstein.
Danke auch an die Leute, die mit weiteren Skripten und Ideen, uns unterstützen.
Wohlwollend möchte ich noch nirgil vom tschechischen honeynet Projekt danken
für das entgegengebrachte Vertrauen und datentechnische Ünterstützung.

bis dahin,
kat