||||botnetz.com

Seit einiger Zeit habe ich einen Glastopf Honeypot am laufen. Bislang hat dieser über 1400 Daten gesammelt. Ich wollte hier jetzt nur einen kurzen Überblick geben, was am meisten in ungesicherte Webapps inkludiert wird. Gescannt wurden die Files mit ClamAV.

(Für eine größere Darstellung draufklicken)

Wie man dort schön sehen kann, werden meistens PHP Bots in Form von pBots oder ähnlichen Bots inkludiert. Auch PHP Shells sind sehr beliebt.
Insgesamt wurden 1400 Dateien gescannt, wovon 907 davon von ClamAV als Bedrohung angesehen wurden. Ich gehe aber von aus, dass der Großteil der restlichen Dateien ebenfalls Bots, Shells  o.Ä. Sachen sind.

Wenn jemand Interesse an den gesammelten Bots, Shells usw. hat, mag er mich bitte kontaktieren. (Bitte Grund dazu schreiben, WIESO du unbedingt die Daten möchtest. )

Guten Morgen.

Ich hab dem Blog jetzt mal nach einen paar Monaten wieder ein neues Design verpasst, da mich das alte anödete. Ich fand es einfach zu dunkel. Das neue hier ist schön hell, vermittelt einen tollen Eindruck und ich hoffe das es mich nicht wieder so schnell anöden wird. :]

Die Sidebar ist ein wenig aufgeräumt worden und mal schauen, was ich demnächst noch so anpassen kann. Eventuell noch eine Übersetzung des Themes ins deutsche.

Wie gehts sonst weiter? Die Projekte, die ihr im Sidebar Widget seht, sind derzeit alle auf Pending oder Auf Eis. Liegt wohl daran, dass ich mir derzeit erstmal klar werden muss, welche Projekte noch sinnig sind, an welchen ich noch Lust habe usw. Was IRCbm angeht, glaube ich das es nicht mehr allzuviel Sinn macht, solch eine Applikation zu schreiben. Mit dem Infiltrator hat man hier schon eine Lösung in Python vorgestellt bekommen. Auch wenn ich ihn noch nicht getestet hab, aber ich denke er wird seine Arbeit verrichten. Falls man wirkliche Interesse an einem bestimmten Netz hat, kann man dieses auch manuell beobachten.

log_IRC hierbei werde ich wohl wieder aufnehmen, allerdings tendiere ich dazu das Twisted Framework für den IRC Part zu nutzen. Ich mag anmerken, das die aktuelle log_IRC Beta NICHT mit Amun v 0.17 funktioniert. Sollte das ganze gut funktionieren, werde ich es wahrscheinlich noch für den glastopf portieren.

Außerdem bin ich noch am überlegen, welche weiteren logging Module einen Sinn ergeben würden. Nun noch zu der Cyberhackers Geschichte. Auch wenn da bisher noch nicht wirklich etwas veröffentlicht wurde und der Blog auch derzeit offline ist, das ganze ist nicht tot. Derzeit fehlt mir nur die Motivation, der Ansporn und eine vernünftige Idee dafür. Ansätze für den Prolog sind bereits vorhanden und sofern ich mehr Lust am schreiben habe, werde ich den Blog wieder online setzen und das ganze veröffentlichen.

So, einen schönen Dienstag wünsche ich. Ihr werdet in ein paar Tagen wieder von mir hören.

Hello.

Some days ago I wrote a tutorial for the installation of an amun honeypot. I now made the translation for non german-speaking people. I’m sorry if my english isn’t that good. But I think you will understand the most things clearly.

Ahead: I will explain this whole tutorial with the current version of the amun honeypot, version 0.1.7. As testsytem I used debian linux 5.0 (Lenny). You should be ready in dealing with basic linux commands and meanings.

What do you need?

First of all, you need a working hostsystem. You may want to rent a small vServer or build a homeserver. Be aware that you need more IP addresses if you want to run more networking services on the server, because amun honeypot will use a lot of ports for his vuln modules. You may first remove or stop all networking services that could interrupt amun honeypots vuln modules to use the ports. (eg. webserver, ftp, mail…)

Amun is written in an interpreted language, called Python. If the interpreter isn’t installed, you can install it with:

$ su -
$ apt-get install python

You also need the psyco module for python. It should be located in the debian repository and can be installed with:

$ su -
$ apt-get install python-psyco
$ exit

At least you need the main program, the amun honeypot. Grab your copy at: http://sourceforge.net/project/platformdownload.php?group_id=221628

if you wanna use submit-mysql or log-mysql, you will also need to grab the MySQLdb module for python. If you want log-surfnet, youhave to install psycopg2.

Preparations & Configuration

You have a fresh Debian system with an installed python interpreter and also python-psyco.
Creatae a new user “amun” and su into him. Go in your home directory and download the current amun version with wget. Extract the tar.gz archive and go in that folder. You will find other subdirectorys like config/, log-modules/ and so on. Before we proceed with the configuration of the honeypot, we should give the system the order to start the honeypot, whenever the system will boot. Therefore we need a small startscript:

#!/bin/sh
# Amun Honeypot Startscript

# path to amun server
amuncommand=”/usr/bin/env python /home/amunserver/amun/amun_server.py”

case “$1″ in
start)
echo -n “Starting Amun Honeypot… ”
start-stop-daemon –start –quiet –pidfile /var/run/amunserver.pid –make-pidfile –background –exec $amuncommand
echo “done.”
;;
stop)
echo -n “Stoping Amun Honeypot… ”
start-stop-daemon –stop –quiet –pidfile /var/run/amunserver.pid
echo “done.”
;;
*)
echo “Usage: /etc/init.d/amun {start|stop}”
exit 1
;;
esac

In the variable amuncommand enter the path to your amun_server.py along with the pythonenviroment. Save the script among /etc/init.d/amun.
Now you can start and stop amun with /etc/init.d/amun {start|stop}.

Now we just have to fit it into the bootable programs.

$ su -
$ update-rc.d amun defaults
$ exit

Done. For now on, your honeypot will start along with the system.

Go back in the folder, where your honeypot is located. Proceed to the conf/ directory. First we will customize the amun.conf. Open it with your preferred text editor.

### define the amun server ip
ip: 0.0.0.0

If you have more IP addresses within your server, you can enter the address what amun should use, otherwise it will listen on ALL addresses.

### define submission modules
submit_modules:
submit-md5,
# submit-anubis,
# submit-cwsandbox,
# submit-joebox

If you want to submit your malware to several sandbox services, delete the # from submit-anubis and/or submit-cwsandbox and/or submit-joebox.

### define logging modules
log_modules:
# log-surfnet

Here are the logging modules. Standard you will only have the log-surfnet module, commented out. Optionally you can add the log-blastomat, log-mail, log-mysql and log-syslog. But I won’t be able to explain these modules, because I haven’t yet worked with them. But it should be easy to us them, because everything needful is commented in the configuration files of the modules.

You don’t have to change anything under the section vuln_modules. If you are behind a router or a firewall, you have to look at the ports and forward them in your firewall, otherwise you won’t get any attacks on your honeypot. The easiest thing is to open a DMZ (Demilitarized Zone).

Now we come to the submit modules.

### define the email address reports should be sent to
### (set to None if only logging to submission.log should be enabled)
reportToEmail: None

Replace the None with one of your e-mail addresses to get the logs sent to them. (Be aware that you will get MANY reports sent to your e-mail, so you should use an extra box.)
You will do this with all 3 submit modules, if you use all 3.

Now, we are done. You could proceed with configure the log modules, but as said upper, I haven’t used them much.

Have fun with your fresh installed amun honeypot.

(Update @ 15. März – Kleinere Bemerkung zu Firewalls/Router hinzugefügt.)

Hallo.

Ich wollte heute einmal erklären, wie man sich einen Amun Honeypot auf einem Linux System installiert. (Getestet wird hier in einer VM mit Debian 5.0 Lenny)

Vorneweg: Ich erkläre das ganze anhand der aktuellen Amun Version 0.1.7, da mir das am sinnvollsten erscheint. Vorraussetzungen für die erfolgreiche Einrichtung sind Basiskenntnisse im Umgang mit Linux, besonders Debian Systemen.

Was benötigt man dafür?

Als allerstes natürlich ein funktionierendes Hostsystem. Hierbei empfiehlt sich ein kleiner vServer, den man dann ausschließlich nur für den Honeypot verwendet. Oder alternativ auch ein kleiner HomeServer. Extra einen teuren Rootserver würde ich dafür nicht kaufen.

Dazu basiert Amun auf der Python Skriptsprache. Sollte der passende Interpreter noch nicht installiert sein, könnt ihr diesen sehr einfach nachinstallieren:

$ su -
$ apt-get install python

Desweiteren braucht Amun noch die Psyco Erweiterung für Python, welche ebenfalls im Debian Repository zu finden sein sollte.

$ su -
$ apt-get install python-psyco
$ exit

Und zu guter letzt noch den eigentlich Amun Honeypot, welcher hier zu finden ist: http://sourceforge.net/project/platformdownload.php?group_id=221628

Möchtet ihr submit-mysql oder log-mysql nutzen, wird außerdem noch MySQLdb benötigt. Wenn ihr log-surfnet nutzen möchtet, wird psycopg2 genutzt.

Vorbereitungen & Konfiguration

Ihr steht jetzt vor eurem frischen Debian System und habt Python und Python-Psyco installiert. (Falls die beiden Module genutzt werden, auch die anderen Pakete.)
Legt einen neuen User “Amun” an und meldet euch mit diesem an. Geht in das Homeverzeichnis des Users und ladet euch per wget die aktuelle Amun Version.
Extrahiert das tar.gz Archiv und begeht euch in den Ordner. Ihr findet weitere Unterordner wie config/, log-modules/ usw. vor. Doch bevor wir uns der Konfiguration widmen, werden wir dem System erstmal sagen, das Amun beim Systemstart mitgestartet werden soll. Dazu benötigen wir ein kleines Startscript:

#!/bin/sh
# Amun Honeypot Startscript

# path to amun server
amuncommand=”/usr/bin/env python /home/amunserver/amun/amun_server.py”

case “$1″ in
start)
echo -n “Starting Amun Honeypot… ”
start-stop-daemon –start –quiet –pidfile /var/run/amunserver.pid –make-pidfile –background –exec $amuncommand
echo “done.”
;;
stop)
echo -n “Stoping Amun Honeypot… ”
start-stop-daemon –stop –quiet –pidfile /var/run/amunserver.pid
echo “done.”
;;
*)
echo “Usage: /etc/init.d/amun {start|stop}”
exit 1
;;
esac

exit 0

In der Variable amuncommand gebt ihr den Pfad zum amun_server.py, samt Pythonumgebung an. Speichert das Script als amun unter /etc/init.d/amun ab.
Nun könnt ihr Amun jederzeit per /etc/init.d/amun {start|stop} starten oder stoppen.

Jetzt müssen wir dem System noch sagen, er soll es bei jedem Systemstart starten.

$ su -
$ update-rc.d amun defaults
$ exit

Fertig. Ab sofort startet Amun jedesmal beim booten des System mit. Endlich können wir mit der Konfiguration des Amun Honeypots beginnen.

Geht wieder in das Verzeichnis, wohin ihr den Amun Honeypot entpackt habt. Dort cd’t ihr in das conf/ Verzeichnis.
Passen wir jetzt zuerst einmal die amun.conf an. Dazu öffnet ihr diese mit einem beliebigen Editor. (vim oder nano)

### define the amun server ip
ip: 0.0.0.0

Dort könnt ihr, falls der Server mehrere IP Adressen besitzt eine von diesen eintragen, oder per 0.0.0.0 einfach auf allen Adressen horchen lassen.

### define submission modules
submit_modules:
submit-md5,
#    submit-anubis,
#    submit-cwsandbox,
#    submit-joebox

Solltet ihr eure Malware an verschiedene Sandbox-Dienste schicken wollen, nehmt die # vor submit-anubis und/oder submit-cwsandbox und/oder submit-joebox weg.

### define logging modules
log_modules:
#    log-surfnet

Hier sind die logging Module. Standard steht hier nur das log-surfnet Modul auskommentiert drinne. Hier könnt ihr noch nach belieben log-blastomat, log-mail, log-mysql und log-syslog adden. (Auf die Konfiguration dieser Dienste gehe ich aber nicht weiter ein.)

Unter den vuln_modules usw. braucht ihr nichts verändern. Solltet ihr allerdings hinter einem Router oder einer Firewall sitzen, müsst ihr diese Ports die bei den vuln_modules angegeben sind dort forwarden, da euer Honeypot sonst keine Angriffe erhalten kann. (Wie auch, wenn der “Zutritt” zum System nicht gewährt ist? :p)
Als einfachste Methode empfiehlt sich hier einfach eine DMZ für den Server zu öffnen.

Schauen wir uns jetzt die Konfiguration der submit Module an.

### define the email address reports should be sent to
### (set to None if only logging to submission.log should be enabled)
reportToEmail: None

Ersetzt das None mit einer eurer E-Mail Adressen um die Logs an diese E-Mail geschickt zu bekommen. (Achtung, nutzt ein extra Postfach für die Logs, da es sehr viele werden.)
Dies tut ihr in allen 3 submit Modulen, falls ihr alle 3 nutzen möchtet.

Soweit, so gut. Was die log Module angeht, müsst ihr selber mal schauen, da ich sie nie wirklich genutzt habe. Sollte aber nicht sonderlich schwer sein, da alles in den Files kommentiert ist.

Voil’a. Euer Amun Honeypot ist soweit erfolgreich konfiguriert. Ihr könnt diesen jetzt per /etc/init.d/amun start zum Leben erwecken.

Viel Spaß nun mit eurem frischen Amun Honeypot. :]

Anmerkungen, Probleme, usw. bitte als Kommentar verfassen.

Am 19. Februar 2009 wurde nach einiger Entwicklungszeit nun die neue Version des Python Honeypots Amun veröffentlicht.

Changelog:

- added new bindshell detection
- added log-surfnet modul
- added amun sql layout amun_db.sql
- added vuln-ms08067 modul (milworm)
- added bielefeld encoded URL detection
- fixed linkbot dlident missing
- modified currentSockets to store attackerId for log-surfnet
- modified vuln-dcom to detect other exploit method
- modified vuln-http POST request shellcode size to 530
- modified download_core to handle errors

Zu finden ist das Projekt hier: http://sourceforge.net/projects/amunhoney/

Ich werde mir das ganze mal etwas anschauen und mal sehen, ob ich die Arbeit am log_IRC wieder aufnehme und die ganze log Module Programmierung einfacher und besser geworden ist. :p

Hallo.

Ich bin jetzt soweit mit der neuen Beta des amun log_IRC Modul fertig geworden. Man man, was für Qualen das waren. Klappte alles vorne und hinten nicht, weiß nicht ob es daran lag, dass meine Fähigkeiten in Python noch relativ begrenzt sind, naja. Die Alpha Version war noch vollständig mit dem threading module und normalen sockets programmiert. In der Beta habe ich mir jetzt das asyncore Modul angesehen. Ist ein wenig angenehmer, damit was zu programmieren und wird vom Honeypot selber ebenfalls genutzt. Nun gut, ich habe das relativ wichtigste der IRC RFC in den IRC Clienten reingebracht, das geht auch alles wunderbar. Bis dahin war noch alles in Ordnung, dann kam ich zur Disconnect Erkennung. Sagen wir’s so: Es war nervig. Hab einiges versucht und nichts klappte irgendwie so recht. (Liegt wohl auch wieder an meine beschränkten Python Fähigkeiten.. jaja )
Hatte mir zuerst überlegt, das ganze über eine Art Check Funktion zu machen, die alle paar Sekunden prüft, wann ein letztes Datenpaket vom Server kam, aber leichter gesagt als getan. Das ganze hätte nochmal eine eigene Klasse benötigt und das wär mir zu doof gewesen. Hab das jetzt etwas einfacher, wenn auch nicht wirklich elegant gelöst, indem ich einfach immer, wenn eine Anweisung zum “loggen” von Exploits ankommt, die Check Funktion aufgerufen wird und bei Bedarf eben neu connected wird. Ist nicht das schönste, ich weiß, aber anders hab ich es nicht hinbekommen. Vielleicht hat da ja jemand von euch eine Lösung parat.

Desweiteren muss ich noch bemängeln, dass der ganze Logkram nicht so wirklich das gelbe vom Ei ist, heißt also, es werden NUR die Exploits geloggt, andere Sachen wie der Download von Malware wird nicht ausgegeben. (Liegt wohl daran, dass nichts anderes übergeben wird, zum ausgeben )
Naja, benutzt es, oder lasst es sein, es ist nicht das tollste, es funktioniert, aber die normale Logausgabe vom Amun Honeypot ist bei langem besser. Ich wollte jetzt auch nicht ewig irgendwelchem Kram im Hauptprogramm verändern, damit mehr ausgegeben werden kann, dass ist nicht der Sinn von so einem kleinen Modul, dass kann der Author selber mal anpassen, oder so. :]

Eins noch zum Ende: SCHREIBT DOCUMENTATIONS ZU EUREN PROJEKTEN! Mit undokumentierten Code arbeiten macht keinen Spaß.

Das log_IRC Modul wird erstmal bis auf weiteres im Beta Stadium verweilen, ich warte mal ab, ob sich in der Hinsicht zu Amun noch was ändert, ob es da bessere Möglichkeiten und vorallem Dokumentationen zu gibt. :p

Den Download findet ihr wie immer auf der Google Code Page:  http://code.google.com/p/amunlogirc/

Wie geht’s jetzt weiter? Also, vielleicht habt ihr schon gesehen, dass sich auf der IRCbm Seite etwas getan hat. Es sind bis jetzt nur Vorüberlegungen zum ganzen Projekt, ob und wann das ganze implementiert wird steht noch in den Sternen. Ich möchte hierbei auch darauf hinweisen, dass die IRCbm Seite kommentiert werden kann, dass sollte dazu dienen um Ideen und Vorschläge, sowie Code Snippets zu adden. Nutzt diese Funktion also. Auch habe ich irgendwie nicht vor, dass ganze irgendwie alleine zu programmieren, bzw. sollte jemand Interesse haben und Spaß am programmieren mit Python haben, ich seh’s gern, wenn jemand bei der Implementierung des ganzen helfen möchte. (Und hey, selbst “relative” Anfänger in Python können sich hier melden, jeder hat mal klein angefangen und selbst ich bin noch nicht wirklich das, was man einen guten Python Crack nennen würde.)

IRCbm hat eine Sourceforge Projektseite, die allerdings noch rrecht leer und unaktiv ist. => https://sourceforge.net/projects/ircbm

Wenn ihr Interesse habt, meldet euch einfach bei mir. Ich werde dann sehen, was sich machen lässt.

So, da ich jetzt wieder relativ unausgelastet mit Projekten bin, werde ich mir glaube mal den Webhoneypot “Glastopf” vorziehen und schauen, wie dieser sich so im Einsatz macht. Wie ich jedoch sehe, lässt dieser sich nicht so einfach um neue Logging Module erweitern. (Zumindest nicht, ohne aktiv im Hauptprogramm rumzufuschen.)
Mal sehen, ob sich das in weiteren Versionen noch ändern wird. Ich denke mal, dass ich mich jetzt eventuell ein wenig mehr auf Schreibarbeit konzentrieren werde und kleinere Tutorials schreiben werde, die sich im Rahmen von “Programmierung mit Python” oder “Botnetze, Malware” beschäftigen. Mal schauen.

Bis dann, Danny.

Ich hab mich jetzt mal kurzerhands entschieden bei einem kleinen Gewinnspiel mitzumachen. Mal sehen, vielleicht wird das ja was.

Also, folgendes: www.netbooksnews.de veranstaltet gerade ein Gewinnspiel, bei dem ihr sehr viele verschiedene Preise abstauben könnt, unteranderem ein Samsung NC20, Lenovo Ideapad S10e und MSI Wind U100. Desweiteren gibt es noch viele andere Preise.

Teilnehmen könnt ihr, indem ihr den Youtube Channel abonniert und ein Kommentar mit eurem Youtube Nick hinterlässt oder einen Artikel auf eurem Blog verfasst, mit einem Trackback zu www.netbooksnews.de. Nun, mal schauen ob sich das ganze lohnt. Ist das erste mal das ich so etwas mache, wenn’s nicht’s wird, weiß ich, dass ich sowas nicht wieder probieren muss.

Mehr zum Gewinnspiel hier: http://www.netbooknews.de/1289/netbooknews-gewinnspiel-nc20-ideapad-s10e-msi-wind-u100-und-mehr/

Auch Google kann mal Probleme haben…

(Betrifft wohl das ganze Google, mehrere Leute meinen, sie hätten die gleichen Probleme. Da ist wohl irgendwas schief gelaufen…)

… Und erneut mal ein weiterer kleiner Blogeintrag meinerseits.

Hab die letzten Tage mehr oder weniger etwas mehr am log_irc Module programmiert und getestet. Nun ja, die ganze Konstruktion klappte, mehr oder weniger ganz gut, aber als ich mir im Endeffekt den Code davon ansah, kam mir halb das Essen wieder hoch. Weiß nicht, mit dem normalen socket und threading module komm ich dort also nicht weiter. Also hab ich mir mal etwas mehr oder weniger “professionelle” Hilfe im #python IRC Channel im Freenode geholt. Dort meinte man zu mir, dass ich das ganze mit dem “Asynchronous socket handler” versuchen soll. (Und wie’s kommt, ich hab natürlich noch keine Ahnung wie man mit dem Modul umgeht)

Ich werd mir jetzt also mal die Tage das “asyncore” Modul etwas genauer anschauen, rumprobieren und dann den vorhandenen (und soweit auch fertigen) IRC Clienten für das log_irc Modul etwas umschreiben. (Funktionen: Disconnectcheck und Reconnect, Alternativer Nickname (Wenn Hauptnick schon belegt),  Wenn Channelmodus +i, +k, +l ist oder +b, stoppt der Client – Noch irgendwelche kleineren Funktionswünsche, oder Sachen die ich vergessen hab?)

Eigentlich hatte ich mir die Deadline für den Release auf den 05.02.2009 gelegt, aber naja. Mal schauen ob ich’s bis dahin schaffe, wenn nicht, kommt der ganze Kram erst später.

Aus gegebenen Umständen und Lust hab ich noch einen kleinen (simplen) IRC Würfelbot geschrieben, der Würfel wie W2, W6 und W20 auswürfeln kann. (Das ganze natürlich was die Anzahl angeht dynamisch.)
Ist nichts großes und vermutlich was den Code angeht auch besser zu gestalten, aber naja, für die Zwecke reicht er aus. Den Source wird’s im Laufe des Tages auf http://dsa.botnetz.com/?id=bot geben. Muss nur noch den Code ein wenig aufräumen und ne Mini Doku dazu schreiben. Das ganze kann dann für Pen&Paper Adventures die das System von “Das Schwarze Auge” nutzen und im IRC gemeistert werden, genutzt werden.

Uuuuuund noch was zum Schluß. Statistiken. Google Statistiken. Suchmaschinenstatistiken. Find ja immer lustig, worüber manche Leute auf meine Webseite gelangen, ist ab und an richtig zum schmunzeln.

Hier mal ein paar Auszüge:

• botnetz programmieren
• botnetz
• botnetz client
• Botnetz Linux / linux botnetz
• irc für botnetz
• rbot kompilieren
• botnetz über mIRC
• rx bot installieren
• botnetz linux tutorial
• programmierung eines bot netzes
• phatbot tutorial
• gtbot
• Botnetz wo
• wie stell ich ein botnetz werk her (häh? )

Joar. Das waren soweit die “besten” Suchbegriffe die’s so gab. Zahlen, wie oft das jeweils gesucht wurde geb ich jetzt mal nicht an.

So, soweit war’s das erstmal wieder. Ich melde mich spätestens im Februar wieder, wenn log_irc Fortschritte macht und bereit zum Release ist.

P.S.: Weiß jemand einen vServer Anbieter, der es erlaubt einen Honeypot auf diesem laufen zu lassen? Ich weiß, Homeserver mag zwar ausreichen, aber irgendwie hab ich wohl immer das Pech das die Hardware nach kürzester Zeit den Geist aufgibt und ich mir jetzt schon überlegt hab ne kleine Linksys NSLU2 zu besorgen, um dort diverse kleine Sachen, inkl. Honeypot drauf laufen zu lassen. Aber naja, so ein kleiner vServer geht wenigstens hardwaretechnisch nicht so schnell kaputt, aber leider weiß ich eben nicht wie’s in Bezug auf Honeypots ausschaut.

Hallo allerseits.

Ich melde mich mal wieder zu Wort. Das erste mal hier im neuen Jahr. Ich hoffe ihr seid dennoch ordentlich reingerutscht und bei guter Gesundheit.
Nun denn, fangen wir gleich mal mit einen Hinweis auf eine Applikation von Lukas an.

glastopf – Ein Web Honeypot

Schon im Dezember stellte Lukas auf seinem Blog seinen HTTP Honeypot vor. Am 10. Januar 2009 wurde die erste stabile Version publiziert und kann auf einer Trac Projektseite heruntergeladen werden. Diese kann hier gefunden werden. Der Honeypot ist in Python geschrieben, besitzt ein eigenes Webinterface und dokumentiert jegliche Angriffe auf seinen implementierten Webserver. Ein wirklich sehr schönes Projekt und durch den Einsatz der Python Skriptsprache auch sehr gut erweiterbar, soweit ich weiß gibt es auch nicht allzuviele Honeypots die auf HTTP Attacken spezifiziert sind. Nunja, ich werde das Projekt weiter verfolgen und bei Bedarf auf meinem (wieder mal defekten… -.-) Home Server austesten.

amun log_irc v. 0.1b

Die Arbeiten an der Beta Version des log_irc module für den Amun Honeypot gehen an sich relativ schleppend vorran. Die IRC Class ist zum nötigsten Teil neu implementiert, fehlen nur noch die wichtigsten IRC Commands sowie die eingebaute Disconnect-Erkennung. Mal schauen wie es mit meinem Home Server ausschaut, der mag seit dem letzten Debian upgrade + reboot kein VGA Signal mehr hergeben. Keine Ahnung was da defekt ist, ich hoff mal ich kann das irgendwie wieder beheben. Ansonsten installier ich mir nen Debian in ner VM und teste dort weiter. Der geplante Release wird denk ich mal irgendwann Ende diesen Monats oder Anfang Februar sein. (Wenn soweit alles gut läuft.)