.: Installation :.
Auf meinem Debian Server habe ich zunächst vollgende Pakete installiert:
- flex – 2.5.31-31sarge1
- bison – 1.875d-1
- libtool – 1.5.6-6
- automake – 1.9.5 (automake1.9)
- autoconf – 2.59a-3
- libadns1 – 1.0-8.2
- libadns1-dev – 1.0-8.2
- libcurl3 – 7.13.2-2sarge5
- libcurl3-dev – 7.13.2-2sarge5
- libmagic1 – 4.12-1
- libmagic-dev – 4.12-1
- libpcre3 – 4.5-1.2sarge1
- libpcre3-dev – 4.5-1.2sarge1
- subversion – 1.1.4-2
Nun wechseln wir ins Homeverzeichnis des users “nepenthes”:
$ cd /home/nepenthes
Legen ein build Verzeichnis an und checken nepenthes aus:
$ mkdir ~/nepenthes $ cd ~/nepenthes $ svn co https://svn.carnivore.it/nepenthes/trunk/ Um das ganze nun ein wenig zu vereinfachen legen wir uns ein build Verzeichnis an:
$ cp -a trunk build
Bis hierher war es ja einfach, aber nun beginnt der Spass
Wenn man libpcap installiert hat versucht nun “configure” das pcap honeytrap modul zu installieren. Ich habe nun configure so angepasst, das genau dieses modul nicht aktiviert wird. Wer aber möchte kann dies gerne installieren.
Der build Vorgang wird einige Zeit in anspruch nehmen. (*Kaffe trinken*)
$ sudo mkdir /opt/nepenthes § chown nepenthes:nepenthes /opt/nepenthes $ autoreconf -v -i --force $ ./configure --prefix=/opt/nepenthes --disable-ipq --disable-pcap $ make && sudo make install $ sudo chown -R nepenthes:nepenthes /opt/nepenthes Die Einstellung von "submit-norman.conf" ist nicht nötig, aber ratsam. $ "submitnorman.so", "submit-norman.conf", ""
Editiere /opt/nepenthes/etc/nepenthes/submit-norman.conf für den Upload der “Norman submission”. Nochmal, das ganze ist nicht nötig, sollte aber durchgeführt werden.
submit-norman
{
// this is the adress where norman sandbox reports will be sent
email "you@example.net";
};Nun ist das ganze so weit vorkonfiguriert und wir können los legen. Ab jetzt beginnt der spannende teil des ganzen. Das ganze starten und als "nepenthes" Benutzer laufen lassen. $ sudo /opt/nepenthes/bin/nepenthes -u nepenthes -g nepenthes -w /opt/nepenthes Nun sollte man die logs sich genauer ansehen und vielleicht mal einen "port scan" von einer anderen IP aus machen, damit man mal sieht welche ports offen sind. Von Zeit zu Zeit sollte man mal "/opt/nepenthes/var/binaries/" überprüfen nach neuer Malware. Jetzt hat man einen eigenen "Honig-Topf" aufgesetztnatürlich kann man nepenthes noch mit weiteren Modulen bestücken. Ich wollte euch nur mal einen kleinen Einblick in die Welt der Honig-Töpfe geben. Es wäre schön wenn Ihr mir Eure Erfahrungen im Bereich honeypots kurz posten würdet, oder eine Mail an mich. http://blog.botnetzprovider.de
Tutorial: Die tolle Welt des nepenthes
Praxis: Einsatz von Honeypots
