Tag: Honeypot

Nepenthes up’n’running!

jetzt hab ich endlich mal ein wenig zeit, um ueber mein honeypot/honeynet projekt zu erzaehlen.
momentan hab ich eine kiste bei mir zuhause in der dmz stehen, die dediziert nur als nepenthes honeypot laeuft.

kleine statisktik:

bis zum 9. April hatten sich einige wuermer connected die sich 34 verschiedene (dubletten fliegen raus) ircbots, viren und trojaner nach.- bzw runtergeladen hatten.

nach erfolgreichen runterladen und disconnecten des wurmes, wird ueber die datei ein aktueller clamav virenscanner gejagt, der seine statistik regelmaessig nach –> hier <-- jagt. angezeigt sind hier die md5 summen (um dublette zu vermeiden) und den jeweils vom virenscanner erkannten virus/trojaner/bot/whatever. 78af04936ad28dbfab6e5baabc7acced: (Worm.Allaple-2) 954a98c971fda498f9d1211f18e75cd7: (Trojan.Vanbot-166) de271beae2503395479ce9951eff95cc: (W32.Virut-17) 16098f4d7f7b882e14be500933719e7c: (Trojan.Mybot-10190) 72a42f7abdc2756e60bb5d4d421512d5: (Worm.Allaple-315) fc8dc5129b9ac331315c6cf030f34737: (Worm.Allaple-136) b2a949efc863013d8b4595dfaa4f5594: (W32.Virut.Gen.D-154) 85103640cf82aad11aed1f11404d979f: (Trojan.Peed-38) d1fc842a62a5fd4aa4bd9d0eab9dfdd9: (W32.Virut-17) d5dfc3bc53cb8abf51d8e42d6b75011b: (W32.Virut-17) 4cb92e51183bf695d5f923e745a7ddb0: (W32.Virut-17) e41d8d395327e5ac5c1ec6dad8358b96: (Trojan.SdBot-6836) 5aa8ebb1071cb58dece13223e251a0b0: (Worm.Allaple-306) 51ab242597ca647c8117024f8ae4fee5: (W32.Virut.ci) e4198d2de0168def42d1869d87425891: (W32.Virut-17) 538d626eabd1e54d0ee14b9e57dd1d4e: (Trojan.Small-4286) 1c17a98568b9c367eb68edb6f1b6adfb: (Worm.Allaple-168) 398fc1ad84e962734715f8b0b141d8d1: (W32.Virut-17) 4ec0e5e40d4b97091b7f4ce4e935d715: (Worm.Kolab-366) 24d9bb993fda99e73be788ed9e724662: (Trojan.Agent-11146) 234dfc643c65fe495a876d5541fb7365: (Worm.Allaple-306) 44d7e80ca6a65d72fe6b30b8869cc3ed: (Trojan.SdBot-6836) 355cabe10f6a72a23e0d5ada2bfe26e2: (Trojan.Agent-11146) 146d61fca77d748f5a5ecff53afd30e4: (Trojan.SdBot-6836) 39b81ab57624d9b174d9f13e0b73691a: (Trojan.Eggdrop-51) e72d0fa69a6e96ae5f6cc8917e38aa91: (Trojan.SdBot-5825) ca142aeccd699c6595c0fff2c0a86d47: (Worm.Allaple-59 3) 875b6257d4d21d51ec13247ee4c1cdb: (Worm.Allaple-306) fb3bfe6e05e96f4c5489669c6709e7d7: (W32.Virut.Gen.C) cfd48fbd9e4589c94a74391683489a2b: (Worm.Allaple-66) dann finden sich im verzeichnis noch 4 binaries, die nicht erkannt worden sind: 24f2f9d8e05d8f8b0519318cc84740fc ba0e24f3974734d94b93c23149ddc642 ea803460151cf7dd3f5c8180b0ab634a 25c35bbe68622207746c371cf58d8bc2 was aber nicht heissen soll, das das "zero day's" sind, sondern einfach nur, das clamav scheinbar ein wenig hinterher haengt. das ganze system will ich demnaechst noch durch ein kleines honeynet aufbohren, wo der ein oder andere "verwundbare" rechner drin steht. wie ich das genau veranstalte, werd ich die tage berichten.

Tags : , , ,