martes, 16 de octubre de 2012

HoneyPot Easy.Parte VII. Google Hack Honeypot.

Hoy vamos a hablar de un honeypot muy interesante a la par de fácil de configurar.
Os hablo de The GOOGLE HACK honeypot.
El concepto es muy sencillo. Lo que hacemos es subir un fichero php a un servidor php/mysql accesible desde internet el cual imita el comportamiento de una web de las "vulnerables" según la Google Hack Database. Podemos elegir entre las web´s "aparentemente vulnerables".
Una vez preparamos la parte del honeypot, introducimos en un recurso indexado por google, como pueda ser este post, para que lo indexe, y sea accesible ante ataques automáticos en busca de fallos registrados en GHD y ya tenemos una fuente de información más para añadir a nuestro sistema de honeypots.
Vamos a lio. Tenemos que descargar el motor del Honeypot. Creamos una base de datos en Mysql, creamos un usuario y clave, le damos permisos, y ejecutamos el script de creación de la tabla que registrará los log´s. Yo he tenido problemas con el script, en la parte de TYPE=MyISAM por lo que simplemente he borrado esa información.
CREATE TABLE `logs` (
 `ID` int(11) NOT NULL auto_increment,
 `Owner` varchar(255) NOT NULL default '',
 `Tripped` varchar(255) NOT NULL default '',
 `TimeOfAttack` datetime NOT NULL default '0000-00-00 00:00:00',
 `Host` varchar(255) NOT NULL default '',
 `RequestURI` varchar(255) NOT NULL default '',
 `Referrer` varchar(255) NOT NULL default '',
 `Accepts` varchar(255) NOT NULL default '',
 `AcceptsCharset` varchar(255) NOT NULL default '',
 `AcceptLanguage` varchar(255) NOT NULL default '',
 `Connection` varchar(255) NOT NULL default '',
 `keepalive` varchar(255) NOT NULL default '',
 `UserAgent` varchar(255) NOT NULL default '',
 `Signatures` varchar(255) NOT NULL default '',
 `Note` text NOT NULL,
 `Headers` text,
 PRIMARY KEY  (`ID`)
) TYPE=MyISAM;

Con el notepad o cualquier otro editor creamos un fichero .csv el cual ubicaremos en un directorio que no esté publicado.
en el fichero config.php del motor del honeypot escribimos la ruta hacia el fichero de logs.csv que hemos creado, y los datos de conexión para la base de datos mysql, lo típico, ip, usuario y contraseña. También cambiamos la variable $Owner con un nombre descriptivo del honeypot, como pueda ser ghd.
En la variable $LogType metemos Mysql para que los log´s los vuelque en la base de datos. Yo no he podido hacer que lo escriba en el fichero csv por problemas de permisos con mi hosting, pero seguro que vosotros podeis xD.
Yo he probado la instalación de un "GHD" que emula la instalación de un foro PHPBB.
http://www.exploit-db.com/ghdb/793/
Descomprimimos el fichero y lo ubicamos en el documento público del servidor web. Leyendo el README obtenemos cierta información de como ponerlo en marcha. Básicamente escribimos en el fichero install.php las variables: $ConfigFile donde indicamos el fichero config.php ( configuración del honeypot en general, no para este GHD) y $SafeReferer donde informamos donde tenemos puesto el link hacia este honeypot, para evitar falsos positivos de clicks legítimos.
Una vez tenemos configurado esto, a esperar que google indexe, y los juackers busquen.
Mientras tanto, para probarlo, vamos a llamar al fichero dominio.com/install/install.php a ver que vería un juacker.


y ahora vamos a ver que registra el log´s.


Como podéis ver registra que una veces he entrado directamente, y otras desde el sitio oculto en mi blog ( para facilitar el indexado lo tienes que "linkear").
Como lo detectan los scanners de vulnerabilidades.


En otra entrada hablaremos de más GHDatabase honeypots y la captura de malware.
Gracias por leerme !!!