HARDWARE Y SISTEMAS OPERATIVOS, GNU/Linux, Windows, Mac > GNU/Linux, Unix, *BSD and Free Software, Android
Honeypot..??
Pengüin:
--- Cita de: Dabo en 13 de Marzo de 2014, 05:24:23 pm ---inextrosum, estoy con la línea de lo comentas y por mi experiencia, el mejor honeypot es poner un servidor en producción, aunque sea algo pequeño y empezar a analizar logs, con eso sí que se aprende ;-)
Kippo no va mal, pero con un servidor tendrás ataques reales (escaneos, fuerza bruta, etc).
Saludos
--- Fin de la cita ---
Dabo hola gracias por responder , kippo lo he estado utilizando y no me convence :burla: , un servidor en producción real es lo que quiero pero para levantarlo todabia soy muy noob , no sabria por donde empezar , eso si me gustaria que fuera en un ambiente Gnu/Linux , el servidor basado en debian o de él ¿hay que levantar apache? o ¿como? , estoy confusa si me puedes orientar como empezar aportandome algo de mas datos.. :ciego:
Un punte me levante una máquina con kali linux como plataforma de honeypot con servicios diversos levantados , la password de superusuaria la limite a 987654321 y mediante tor comencé a navegar por sitios hostiles , con chkrootkit y ps -aux me encontre con un troyano , rootkit o malware en general que me colaron en el s.o y lo aislé con clamav me gustaria saber además con que herramientas puedo de alguna forma desemsanblar este malware y estudiarlo para poder con fines educativos poder comprenderlos mejor y como funciona , el archivo es sín extensión..Además me realizaron diversos ataques al ir a páginas aún mas hostiles y con clamav , chkrootkit y ps -aux me colaron de nuevo malware diverso unos 1.139 que pude aislar de archivos detectados por clamav como malware diversos , troyanos , rootkits , virus en general con extensiones de archivos muy diversos como .sh , .exe , .com , .pl , .py y archivos sin extensión.. :-o
El s.o kali linux sé que está comprometido , me gustaria poder saber leer bién los logs , todos los que proporcione el sistema operativo y cuales son los logs clave que debo obserbar primero.El s.o kali linux lo dejé lo más desactualizado posible para que me hicieran tal acciones , basandonos en informática forense ¿cómo debo proceder con el sistema operativo? , de todo esto ¿qué conclusiones sacaís? , ¿debo reforzar la password de superusuaria a la anterior de 20 caracteres y algo mas robusta que tenia?. :???:
Algo mas interesante seria que me orientarais en lo que me has aconsejado Dabo en un servidor en producción real , ¿qué servicios debo levantar? ¿qué trampas puedo poner para que me ataquen? , ¿uno de los servicios a levantar por curiosidad seria apache? , ¿por donde empiezo? porque siento que en todo lo que he estado haciendo hasta ahora he fracaso o esa es mi impresión.La mayoria de los 1.139 malware recolectados son de tipo exploits ¿cómo puedo llegar a comprenderlos también?. :-o
Dabo:
Ufff son muchas cuestiones y no tengo el tiempo que necesitarías pero quizás es mejor empezar por las bases. Mira este tuto de Forat, tiene algo de tiempo pero es válido
http://project.forat.info/project-2010-servidor-web-bajo-linux-ubuntu-server/
Como complemento, una vez des ese paso puedes ir con esto
http://www.daboblog.com/2013/07/18/sobre-mi-demo-en-conectacon-seguridad-y-optimizacion-en-servidores-gnu-linux/
(Ahí tienes herramientas para detectar malware, rootkits, etc)
No estaría mal para probar y andar trasteando DVL
http://www.aegis.pe/2013/12/damn-vulnerable-linux.html
Y vaya, no creo que el problema viniese del password sino más bien de algún bug sin parchear en Kali, yo lo uso siempre desde VirtualBox y sin pegas.
Pengüin:
Dabo gracias por la info , tengo unas dudas mas sobre mi honeypot , le he hecho limpieza y he aislado casi todo el malware pero creo que aún me quedan en el s.o unos cuantos lkm detectados por chkrootkit e utilizado la herramienta unhide y me detecta 4 procesos ocultos.. :-o
La pregunta es ¿cómo puedo aislar esos 4 procesos lkm , se hace con unhide? , porque chkrookit y rkhunter me arroja lo mismo e igual que :
--- Código: ---unhide brute
--- Fin del código ---
Gracias y sld2s.. :???:
Navegación
[*] Página Anterior
Ir a la versión completa