ratNetw0rk Statistik

Honeypot “Nepenthes”

.: Installation :.

Auf meinem Debian Server habe ich zunächst vollgende Pakete installiert:

  • flex – 2.5.31-31sarge1
  • bison – 1.875d-1
  • libtool – 1.5.6-6
  • automake – 1.9.5 (automake1.9)
  • autoconf – 2.59a-3
  • libadns1 – 1.0-8.2
  • libadns1-dev – 1.0-8.2
  • libcurl3 – 7.13.2-2sarge5
  • libcurl3-dev – 7.13.2-2sarge5
  • libmagic1 – 4.12-1
  • libmagic-dev – 4.12-1
  • libpcre3 – 4.5-1.2sarge1
  • libpcre3-dev – 4.5-1.2sarge1
  • subversion – 1.1.4-2

Nun wechseln wir ins Homeverzeichnis des users “nepenthes”:

$ cd /home/nepenthes

Legen ein build Verzeichnis an und checken nepenthes aus:

$ mkdir ~/nepenthes
$ cd ~/nepenthes
$ svn co https://svn.carnivore.it/nepenthes/trunk/

Um das ganze nun ein wenig zu vereinfachen legen wir uns ein build Verzeichnis an:

$ cp -a trunk build

Bis hierher war es ja einfach, aber nun beginnt der Spass :)

Wenn man  libpcap installiert hat versucht nun “configure” das pcap honeytrap modul zu installieren. Ich habe nun configure so angepasst, das genau dieses modul nicht aktiviert wird. Wer aber möchte kann dies gerne installieren.

Der build Vorgang wird einige Zeit in anspruch nehmen. (*Kaffe trinken*)

$ sudo mkdir /opt/nepenthes
§ chown nepenthes:nepenthes /opt/nepenthes
$ autoreconf -v -i --force
$ ./configure --prefix=/opt/nepenthes --disable-ipq --disable-pcap
$ make && sudo make install
$ sudo chown -R nepenthes:nepenthes /opt/nepenthes

Die Einstellung von "submit-norman.conf" ist nicht nötig, aber ratsam.

$  "submitnorman.so", "submit-norman.conf",         ""

Editiere /opt/nepenthes/etc/nepenthes/submit-norman.conf für den Upload der “Norman submission”. Nochmal, das ganze ist nicht nötig, sollte aber durchgeführt werden.

submit-norman
{
       // this is the adress where norman sandbox reports will be sent
       email   "you@example.net";
};
Nun ist das ganze so weit vorkonfiguriert und wir können los legen. Ab jetzt beginnt der
spannende teil des ganzen. Das ganze starten und als "nepenthes" Benutzer laufen lassen. 

$ sudo /opt/nepenthes/bin/nepenthes -u nepenthes -g nepenthes -w /opt/nepenthes

Nun sollte man die logs sich genauer ansehen und vielleicht mal einen "port scan" von einer
anderen IP aus machen, damit man mal sieht welche ports offen sind. 

Von Zeit zu Zeit sollte man mal " /opt/nepenthes/var/binaries/ " überprüfen nach neuer
Malware. 

Jetzt hat man einen eigenen "Honig-Topf" aufgesetzt :)  natürlich kann man nepenthes noch mit
weiteren Modulen bestücken. Ich wollte euch nur mal einen kleinen Einblick in die Welt der
Honig-Töpfe geben.
Es wäre schön wenn Ihr mir Eure Erfahrungen im Bereich honeypots kurz posten würdet, oder eine
Mail an mich.

http://blog.botnetzprovider.de



Tutorial: Die tolle Welt des nepenthes
Praxis: Einsatz von Honeypots