Enganando invasores com Honeyperl

tatototino

Honeyperl é uma ferramenta de segurança produzida por brasileiros, trata-se de um conjunto de fake servers que simulam com perfeição diversos servidores falsos para enganar invasores.

[ Hits: 34.291 ]

Por: Leandro Totino Pereira em 19/10/2006

0 0

Denuncie Favoritos Indicar Impressora

Executando e testando

Execute o comando honeyperl.pl.

NOTA: Antes de executar, veja se tem algum serviço rodando nas portas correspondentes ao que irá rodar como fake server.

# cd /usr/local/honeyperl-0.0.7.1
# perl honeyperl.pl &

Estamos rodando o programa em segundo plano através da opção & após o comando.

Agora é só esperar os logs no diretório /usr/local/honeyperl-0.0.7.1/logs para serem analisados, vocês não terão problemas em analisar.

Testando

Conecte ao ftp:

$ ftp localhost

E quando pedir a senha e o login, coloque um login qualquer e uma senha qualquer. Eu coloquei leandro/leandro na senha e no login.

No log dentro do diretório /usr/local/honeyperl-0.0.7.1/logs/ftp apareceu o seguinte:

Thu Sep 21 23:39:46 2006 fakeftp log - Connection from 127.0.0.1:33275
          USER leandro :
          PASS leandro :
          SYST :

No httpd é a mesma coisa.

Abra o browser e digite: http://localhost/~

Irá aparecer algo como isso nos arquivo de log dentro do diretório /usr/local/honeyperl-0.0.7.1/logs/httpd:

Thu Sep 21 23:45:02 2006 fakehttpd log - Connection from 127.0.0.1:33285
          GET /~ HTTP/1.1 : Ataque WEB ! Tentativa de execução de comando

Se o teste deu certo, quer dizer que está tudo ok, o Honeyperl está pronto para enganar os "invasores".

Conclusão

Espero que vocês tenham gostado do artigo, pois estava faltando um sobre Honeyperl na net.

Qualquer atualização ou informação veja no site:

http://www.honeypot.com.br/index.php

flw, até o próximo artigo!

Autoria: Leandro e Leonardo Totino Pereira

Página anterior

Páginas do artigo

   1. Introdução
   2. Configurando o Honeyperl
   3. Configurando os fakes
   4. Executando e testando

Outros artigos deste autor

Montando e desvendando redes no Linux

Instalando e configurando o VNC

Squid + proxy transparente + autentificação + SSL

SSH completo (passo a passo)

Leitura recomendada

Labrador, um detector de intrusos

Vírus em câmeras digitais: possibilidades

A Arte de HACKEAR Pessoas

Sudoers 1.8.12 - Parte IV - Manual

Ferramentas de detecção e NMAP

Comentários

[1] Comentário enviado por fsouzza em 19/10/2006 - 16:04h

Não entendi... Depois de extrair, mover para o /etc e rodar o verify.pl de dentro do /usr/local/honeyperl-0.0.7.1 ????

Não estaria tudo no /etc/honeyperl-0.0.7.1 ???

0 0

[2] Comentário enviado por tatototino em 19/10/2006 - 17:30h

desculpe é um pequeno erro

é para /usr/local

como descrevi abaixo

mv honeyperl-0.0.7.1 /usr/local

é pq eu tinha feito o artigo baseado honeyperl 0.0.5 aí eu atualizei para nova versão a 0.0.7 e não percebi esse pequeno erro

mas então é para /usr/local e não para /etc

flw

0 0

[3] Comentário enviado por Ragen em 19/10/2006 - 18:13h

Olá amigo,

Gostaria de salientar alguns pontos:

"simulam com perfeição diversos servidores falsos para enganar invasores".

Não simulam com perfeição. Há varios modos de detectar um honey pot - Na H2HC (hackers to hackers conference, 1º edição) o SkyNet45 palestrou justamente sobre isso.

E o honeypot deve ser usado com EXTREMA cautela, pois "somente" (Talvez soe meio radical, mas é como eu penso) engana "kiddies".

Em outras palavras, significa que se você invez de "enganar", pregra uma placa no seu servidor "Meu hackeie, estou vulnerável". E como diz o ditado: "Quem procura acha".

[]'s

Ragen

0 0

[4] Comentário enviado por tatototino em 19/10/2006 - 21:18h

eu quiz dizer "simulam com perfeição diversos servidores falsos para enganar invasores" com a simples base

vc pode implementar qualquer honeypot com o netcat com a opção -e executando um programinha em qualquer porta e jogando pra um log ou tb fazendo um programinha de 20 a 30 linhas que abra uma porta e execute alguma coisa parecido com um servidor , mas fazendo assim não fik parecido ou tão igual com um servidor verdadeiro

e coloquei invasores pq nem todo mundo sabe o é " kiddies"

honeypot tem a função de enganar mas nem todo mundo acaba sendo enganado, como disse ele tem a função de vc analizar certos ataques que serão sofridos para posteriormente se pervenir

é isso aí

flww

0 0

[5] Comentário enviado por pogo em 20/10/2006 - 09:15h

Ok, vc implementou o seu honeypot simulando um FTP, por exemplo, pra enganar algum espertão da rede.... mas como vc vai chamar a atenção dele para o honeypot e não para o servidor real?

[]'s!

0 0

[6] Comentário enviado por tatototino em 20/10/2006 - 09:49h

pogos então

essa é a charada, vc coloca servidores reais mesclados com varios servidores falsos parecendo hiper vulneraveis ou tb se vc quiser só os poe osservidores falsos

um exemplo vc tem só um servidor web real e um de e-mail, aí vc poderá chamar atenção abrindo uma porta ftp na versão mas antiga que tem, claro que o "invasor" vai tentar alguma coisa pela porta ftp

os servidores falsos vc pode configurar para aparecer como versão 0.1 do pior servidor que tem no arquivo de configuração , sendo que para os invasores esses servidores são super hiper vulneraveis

os invasores não vão trocar por exemplo um servidor ruimftp 0.2 por um apache 2.3 né

0 0

[7] Comentário enviado por y2h4ck em 20/10/2006 - 10:48h

Veja bem tatatotino,

Ano passado publiquei um artigo sobre o honeyperl, se vc olhar no site do projeto verá que tem um link la quebrado pois devido o problema no vivaolinux o artigo se perdeu ...

A finalidade real de um honeypot é ter estatisticas fidedignas em relação ao nível e tipos de ataques que sua rede é submetida. Quando implementa-se um honeypot visamos ter em nosso segmento um servidor não em produção que apenas coletará informações, sendo assim teremos estatisticas do tipo:

- Que tipo de ataque nossa rede é acometida
- Qual a frequencia dos ataques
- Quais as redes de onde a maioria dos ataques são oriundos
- Quais ativos de minha infra-estrutura devem ser melhor quantificados.

Um portsentry escutando em várias portas é um otimo honeypot pois:

- É mais seguro que um ambiente falso que pode contar com falhas de segurança, e isto seria contra a estratégia de segurança que vc pretende implementar uma vez que seu honeypot seria o Weak-Point.

Como sendo um artigo sobre segurança voce deve levar vários fatores em relação ao projeto:

Você conhece bem o sistema?
Você garante que ele não tem falhas?
Você colocou o sistema de honeypot junto a uma infra-estrutura de servidor, acredito que faltou a criação de um ambiente CHroot para aumentar a segurança.

Se não levarmos em conta estes principios acima não seremos objetivos e não teremos exito em nossa empreitada. Não concorda ??

- Mais simples pois teremos apenas que abrir portas e gerar logs. Simplicidade é um fator importante em uma politica de segurança uma vez que:
sistemas mais simples são mais faceis de gerenciar;
Sendo mais simples de gerenciar falhas são mais dificeis de acontecer;
Aplicando o conceito de Weak-Point + Simplicity temos que quanto mais simples mais seguro e mais objetivo.

- Mais eficiente no sentido quantificativo.

Em todo caso o artigo ficou interessante.

Obrigado.

Anderson

0 0

[8] Comentário enviado por doliver em 20/10/2006 - 19:55h

Kra seu artigo foi show, para mtas pessoas que não conhecem bem o projeto honeypot acho que deu uma esclarecida na mente das pessoas.

Quanto a discussão acima é bem que verdade que esse tipo de tecnica so engana iniciantes, um kra experiente sabe como um server se comporta e iria detectar a presença de honey facilmente pq ele não responderia do modo esperado por ele;
Mas não deixa de ser mais uma bareira contra eles.

Parabéns pelo artigo.

0 0

[9] Comentário enviado por balani em 21/10/2006 - 11:05h

kra muito seu artigo.

0 0

[10] Comentário enviado por balani em 24/10/2006 - 00:07h

Eu tenho uma duvida, talvez seja besteira, como é melhor a utilização dele no meu fw ou num server separada?

0 0

[11] Comentário enviado por tatototino em 24/10/2006 - 06:59h

tanto faz

você deve pensar assim

onde vou executar ele para sofrer mais ataques,essa é a intensão do honey ser atacado

flww

0 0

[12] Comentário enviado por balani em 25/10/2006 - 12:28h

VlW pela dica!!!

0 0

[13] Comentário enviado por Gilmar_GNU/Slack em 06/02/2007 - 14:19h

Mais mesmo assim eles naum poderiam usar o Net-bus para pegar o Root ?
mais a sempre uma porbabilidade de que esse tipo de ataque aconteça... mais claro que eles são Usuaria de UNix ou Mac in tosh ! mais como o sistema Lnux tem ummbom firewall ai e complicado invadir ! mais ainda tem a pobabilidade de mudança de proxi e ainda tem o tor que pode ajudar no porcesso de mudar o caminho da maquina !

0 0

[14] Comentário enviado por tatototino em 06/02/2007 - 16:42h

Netbus não funciona no Linux, mesmo se funcionasse nunca poderia pegar o usuário root, ele é um torjan, ou seja, ele só faz uma conexão reversa como o comando nc (netcat) muito usado pelo kiddies.
E a configuração básica do iptables (bloquear tudo e liberar só que você quiser), barra os trojans e tentativas de conexões reversas.

flw

0 0

[15] Comentário enviado por gdtec em 11/10/2010 - 20:06h

Os links informados não dão mais acesso ao download da ferramenta. Você possui algum link alternativo. Estou com dificuldades de encontrar essa versão em questão.
Aguardo..

0 0