Netter, kleiner Honeypot
Geschrieben von skaldrom am 9. September 2006
Ich wollte schon lange mal wissen, wie tuff und 1337 meine Kollegas nun wirklich sind. Wieviel von ihrer kriminellen Energie verwenden sie darauf, in meinen Laptop einzubrechen. Dafür würde sich eigentlich ein Honeypot empfehlen. Ich habe aber keine Zeit mich jahrtausende lang einzulesen und ausserdem sollte ich nebenbei noch auf meinem Laptop arbeiten können.
Alles was ich eigentlich wissen will ist, ob jemand versucht hat zu connecten und was er dann getan hat.
Dafür empfiehlt sich das “Deception Toolkit” von all.net. Es ist alt, sehr alt, aber guuuut! Im Prinzip hört es auf konfigurierten Ports und startet eine Zustandsmachine, wenn jemand darauf verbindet. Sämtliche Angaben des Angreifers werden geloggt.
Installation: dtk herunterladen und entpacken:
Dann müssen in der Datei thttpd.c alle exit() durch exit(1) ersetzt und folgende Zeilen ergänzt werden:
#include <string .h>
In der Datei makefile muss ein dotslash hinzugefügt werden:
(cd ./telnetd;rm ./telnetd;make)
[...]
clean:
./cleanup
Zum Schluss ./Configure aufrufen.
Um das Ding zu starten einfach ./dtk.rc.local eingeben und eventuell die Funktion überprüfen mittels:
