Archive for the ‘monitoring’ Category

Comment Faire : Honeydrive3

Tuesday, June 6th, 2017

Voici un petit post pour faciliter la mise en place de honeydrive3 dans votre environnement

Ni Honeydrive3 ni ce qu’est un honeypot ne sera détaillé ici.

Préparation de la VM

  • Télécharger le fichier OVA : https://sourceforge.net/projects/honeydrive/
  • Double-cliquer sur le fichier téléchargé pour importer la VM avec virtualbox (tel que recommandé par l’auteur de HoneyDrive)
  • Modifier les paramètres réseaux de la VM  pour passer en mode Bridge
  • Lancer la VM
  • Lancer ‘Terminator’
  • Passer en root (mdp = honeydrive)
honeydrive@honeydrive:~$ sudo su
  • Changer pour un clavier AZERTY :
root@honeydrive:/home/honeydrive# setxkbmap fr
  • Changer le mot de passe du compte honeydrive :
root@honeydrive:/home/honeydrive# passwd honeydrive
  • Mettre à jour le system :
root@honeydrive:/home/honeydrive# apt-get update && apt-get upgrade

Les HoneyPots

Attention!  Il n’est pas possible de lancer tous les honeypots (plusieurs ont les memes fonctionalités). Voici donc une sélection que je vous propose :

 

[Kippo] : Honneypot écrit en Python, simule un serveur SSH avec commandes et système de fichiers accessibles

honeydrive@honeydrive:~$ cd /honeydrive/kippo/

honeydrive@honeydrive:~$ ./start.sh

Pour visualiser les statistiques, aller sur http://192.168.0.13/kippo-graph/index.php

[Dionaea] Honneypot simulant un serveur FTP, SMB, TFTP, MSSQL et HTTP

honeydrive@honeydrive:~$ cd /honeydrive/dionaea-vagrant/
honeydrive@honeydrive:~$  ./runDionaea.sh
[sudo] password for honeydrive :

Pour visualiser les statistiques, aller (depuis la VM honeydrive) sur http://localhost/phpliteadmin/phpliteadmin.php

[Honeyd] permet simuler plusieurs honeypots virtuels avec les services FTP, HTTP. Double emplois avec les 2 précédents

–> Je n’utilise pas

[Amun] Honeypot en python, dernière MaJ en 2014. Message sur Sourceforge : Warning! Malware detected. Download at your own risk.

–> Je n’ai pas cherché plus loin

 

[Conpot] Honeypot simulant des ICS/SCADA ! ça c’est cool!

Le projet est mené par un dev de chez blueCoat, projet open-source soutenu par quelques ‘géants’ >.>…

plusieurs ‘templates’ sont disponibles (/honeydrive3/conpot/conpot/templates/)

 

D’autres Honey pot que je n’ai pas eu le temps de tester sont présents.

A tester plus tard :

[Wordpot]

[Thug]

[PhoneyC]

[LaBrea]

[IIS Emulator]

[INetSim]

 

 

 


 

 

 

Cacutza!!!

Tuesday, July 23rd, 2013

Mais qu’est ce que cela signifie?? un prénom hispanique? je paie un bière à celui qui trouve :P

Depuis quelques temps, j’ai implémenté un honeypot qui enregistre les logins/mots de passe des tentatives de connexion vers mon domaine (antoinepelloux.eu). En moins de 2 mois,il y a eu plus de 35 000 attaques SSH enregistrées, on peut donc commencer à sortir des stats intéressantes. C’est d’ailleurs dans le top 10 des mots de passe utilisés qu’on trouve ce mot curieux: cacutza

En recherchant un peu, on tombe sur des sites comme celui-ci ou on constate que ce mot de passe est effectivement utilisé pour le bruteforce SSH. Quant à savoir pourquoi, serait-ce réellement un mot de passe fréquemment utilisé ou s’agit-il d’un rigolo qui à publié un dictionnaire avec des mots farfelu sans raison apparente? who knows? but who cares?

L’objectif caché de ce billet est d’annoncer la sortie de nsm.antoinepelloux.eu qui prend le relais sur la supervision sécu de mes sites webs! Actuellement, les tentatives de connexion SSH et FTP sont enregistrées et publiées. D’autre protocoles d’accès à distance sont en cours de développement (VNC/RDP). On trouve également un Snort avec un front-end fait maison (certes rudimentaire mais il fait ce que je souhaite).

D’autre honeypots/outils supervisions devraient s’y ajouter dans les prochaines semaines!!

 

 

APE report : bilan mensuel des requêtes http

Tuesday, June 4th, 2013

Voici un rapport sur les connexions HTTP vers les serveurs du domaine antoinepelloux.eu. L’objectif est de donner un regard à tous sur les menaces qui touchent le particulier lambda qui auto-héberge son serveur web.

Outre le trafic légitime et les moteurs de recherches, on observe quantité de scanners/fuzzer web plus ou moins malicieux. Voici donc un bilan quantitatif et qualitatif basé sur toutes les connexions du moi de mai:

2013-05_APE_Report

Ce rapport est désormais presque automatisé et j’espère en publier un tous les mois. Donc le fait que vous soyez en train de lire cet article aura un impact sur le rapport du moi de juin =]

N’hésitez pas à commenter/critiquer/suggérer pour l’amélioration de ce rapport!

 

Carna : le botnet “publique” de 420.000 serveurs

Friday, March 22nd, 2013

Botnet  “publique” car c’est le hackeur à l’origine du projet Carna qui a publié le résultat de ses recherches.

Le projet est parti d’un constat simple : beaucoup d’équipements réseaux sont accessibles avec les identifiants par défauts (root, admin…). La suite est évidente, on scan le subnet 0.0.0.0/0  … internet quoi :P

Après quelques mois de ‘proof of concept’, l’auteur du projet a rassemblé quantité d’information et de statistiques nous permettant aujourd’hui de “naviguer” sur internet différemment:

http://internetcensus2012.github.com/InternetCensus2012/hilbert/index.html

J’adore…

Bien entendu, ce botnet n’est pas du tout malicieux,  les coordonnées de l’auteur étaient même incluent dans les “malwares” =].

Tous les détails de ce chef-d’œuvre ici:

http://internetcensus2012.github.com/InternetCensus2012/paper.html

0.1% des abonnés de free ont leur port RDP ouvert

Thursday, February 21st, 2013

Voici le résultat d’un rapide scan de port effectué la semaine dernière en fin d’après midi.

Sur un échantillons de 512072 IP publiques, j’ai trouvé 568 adresses à l’écoute sur le port 3389.

Que pouvons-nous en conclure? Pas grand chose en ce qui me concerne, mais  je ne pensais pas trouver autant d’IP et cela m’a assez motivé pour entreprendre d’autre scan de ce type (et poster les résultats sur ce blog évidement!).

Il faut garder à l’esprit que ces valeurs sont valable à un instant t, car en ce qui concerne le grand Ternet, une carte imprimé est une carte périmé!

 

 

Global botnet map : supervision des botnet selon Trend micro

Saturday, January 19th, 2013

 

Voici un petit lien sympa :

http://www.trendmicro.com/us/security-intelligence/current-threat-activity/global-botnet-map/index.html

C’est une map des botnets (en temps réel d’après le site) qui vous donnera un aperçu sur les activités malicieuse d’internet.

Il y a également des courbes avec le nombre de connexions des PC infectés et des serveurs Command & Control.

Personnellement, je m’attendais à une map un peu plus chargée mais bon, c’est construit à partir des données que possède Trend micro et Trend micro n’est pas omniscient.