Nepenthes

[themaster]

Nepenthes is een honeypot op linux. Deze hoenypot doet zich voor de buitenwereld voor als een vatbare windows service achter bekende poorten.
Als iemand dan deze poort probeert te misbruiken doet de honeypot net alsof ie deze service is.
In werkelijkheid noteerd hij alles van de betreffende aanvaller en slaat de payload op.
Zodoende zie ik bijvoorbeeld dat er veel Rbot verkeer is momenteel :P.

[libris]

heb je dit momenteel op je server draaien? is wel lachen

[themaster]

uhu zie iedere dag wel een aantal wormpjes voorbij sjacheren met hun ssms.exe :P of ze proberen te tftpen :S
Heerlijk alles vangtie op en dumpt de gegevens in een db ^^
Moet er alleen nog een gui voor brouwen en mun submit meuk fixoren maar een klas genoot heeft een mooi voorbeeld hetzij iets anders maar toch.
To view this link please Register

[thijs]

Nepenthes is een low lvl honeypot die Mallware en spyware aantrekt...

het gaat hier vaak om geautomatiseerde systemen die het internet afscannen opzoek naar zwakkere plekken (althans dat is mijn belevenis). Nepenthes logd deze aanvallen en slaat deze op in een logfile. indien geconfigureerd zend hij de verdachte mallware door naar een sandbox systeem die dan automatisch de mallware onderzoekt en een rapport opstuurt naar de verzender van het mallware bestand.

dat is alles wat Nepenthes doet...

Toen ik het gebruikte vond ik het zeer vervelend dat er inderdaad geen interface is om simpel gegevens op te vragen uit de log files. dus heb ik zoals "themaster" hierboven al aangaf een web interface gebouwd om de log file te kunnen laten zien. alleen er gaat wel ietsjes meer werk aan vooraf...

log file ziet er per regel zo uit
[2009-04-23T06:59:16] x.x.x.x -> x.x.x.x link://x.x.x.x:1865/mGBcHQ==

deze regels laat ik parsen door middel van een perl script naar een leesbaar formaat voor mysql. deze nieuwe regel wordt dan automatisch naar een mysql server wordt gestuurd. de parser split de regel op in de volgende velden

Date, Time, Source, Destination, Mallware, (en bij de submitted log file doet hij ook nog Hash erbij).

toen ik al deze data in een mysql database had staan was het een eitje om een basis webinterface te maken hierover die laat zien wat er in de database staat. een klas genoot van mij heeft toen geholpen om verschillende velden aan te maken om query's uit te voeren op de database.

ik keek laatst bij een collega van mij af (deze doet soort gelijk) en hij liet ook whois informatie zien in zijn website. dit wilde ik ook doen dus heb ik nog een script geschreven in perl dat met de IPfree module een whois uitvoerd op de regels vermeld in veld Source. de resultaten stuurt hij terug naar de mysql server als Country en Country_n dan krijg je bijvoorbeeld NL en Netherlands terug. deze laat ik dus ook zien op de web interface.

vanaf deze week is deze interface die ik Section-9 noem als project naam als open source op mijn website gezet. deze mag gedownload worden en het enige wat ik vraag is als er verbeteringen zijn gaarna deze opsturen zodat de source verbeterd kan worden. ik ben momenteel op V.0.1 Beta. ik heb er nog geen documentatie bij geschreven dit zal komende maanden verschijnen als de meeste bugs eruit zijn. niet alles werkt nog zoals het hoort maar het is een leuk begin.

Section-9 is te downloaden op To view this link please Register onder downloads --> Tools.

indien nog vragen, gaarne deze mailen naar thijs.schuilenburg@entropia-small.nl