搭建
个基于*nix系统
蜜罐网络相对说来需要比较多系统维护和网络安全知识基础
但是做个windows系统蜜罐(下面简称winpot)门槛就比较低而且大部分朋友都会M$select & click :)今天我们就起尝试搭建个windows下蜜罐系统 由于win和*nix系统不
样我们很难使用有效工具来完整追踪入侵者行为
win下有各式各样远程管理软件Software(VNC,remote-anything)而对于这些软件Software大部分杀毒软件Software是不查杀他们而我们也没有象LIDS那样强大工具来控制Administrator权限相对而言winpot风险稍微大了点而且需要花更加多时间和精力去看管他没办法门槛低了风险当然就会相对高了
OK
开始 先介绍
下我们需要软件Software vpc Virtual pc
他是个虚拟操作系统软件Software当然你也可以选择vmware. ActivePerl-5.8.0.805-MSWin32-x86.msi windows下
perl解析器 evtsys_exe.zip
个把系统日志发送到log服务器
comlog101.zip
个用perl写偷偷记录cmd.exe不会在进程列表中显示入侵者运行确是cmd.exe :) Kiwi_Syslog_Daemon_7
个很专业日志服务器软件Software norton antivirus enterprise client 我最喜欢
杀毒软件Software支持win2k server当然如果你觉得其他更加适合你你有权选择 ethereal-
up-0.9.8.exe Etherealwindows版本Ethereal是*nix下个很出名sn
fer当然如果你已经在你honeynet中布置好了 sn
fer,这个大可不必了但是本文主要还是针对Dvldr 蠕虫而且etherealdecode功能很强用他来获取irc MSG很不错 WinPcap_3_0_beta.exe ethereal需要他
支持 md5sum.exe windows下用来进行md5sum校验
工具 绿色警戒防火墙 对入侵者做限制
windows 2000 professional
ISO镜象 用vpc虚拟操作系统时候需要用到他 除了windows 2000 professional
ISO镜象本文涉及所有都可以在郑州大学网络安全园下载到 http://secu.zzu.edu.cn
Dvldr蠕虫介绍
他是
个利用windows 2000/NT弱口令蠕虫该蠕虫用所带字典暴力破解随机生成ip机器如果成功则感染机器并植入VNC修改版 本
并向个irc列表汇报已经感染主机信息同时继续向其他机器感染可以访问郑州大学网络安全园或者有关他更详细信息 :使用VPC安装个win2k pro具体安装思路方法本文就省略了打上所有补丁只留个漏洞就是dvldr蠕虫需要administrator空 密码
2:安装norton antivirus enterprise client
升级到最新病毒库并启动实时监控 3:用cmdlog替换cmd.exe
,把comlog101.zip解压缩后有 5个文件cmd.exe,cmd101.pl,COMLOG.txt,MD5.txt,README.txt,其中cmdlog.txt和 readme.txt都是介绍说明文件
md5.txt包含这 5个文件md5校验和值我们可以使用md5sum.exe工具来检测下他们是否遭受修改 D:comlog101>md5sum.exe *
md5sum.exe: .: Permission denied
md5sum.exe: ..: Permission denied
f86ba5ffaa8800a2efa9093d2f11ae6f *cmd.exe
484c4708c17b5a120cb08e40498fea5f *com101.pl
001a6f9ca5f6cf01a23076bad9c6261a *comlog.txt
121bf60bc53999c90c6405440567064b *md5.txt
eb574b236133e60c989c6f472f07827b *md5sum.exe
42605ecfa6fe0f446c915a41396a7266 *README.TXT
把这些数字和md5.txt
数字对比如果出现不致就证明遭受修改请勿使用并通知我 在校验无误的后,我们开始覆盖系统
cmd.exe先打开资源管理器-->工具-->文件夹选项-->查看把"隐藏受保护操作系统文件"钩去掉 并选择"显示所有文件和文件夹"-->确定
然后去到C:WINNTsystem32dllcache目录
并找到cmd.exe,并把他改名成cm_.exe,再把comlog101下cmd.exe和com101.pl复制到这里,并把C :WINNTsystem32下
cmd.exe也改成cm_.exe同样把comlog101目录下cmd.exe和com101.pl复制到这里在这段时间系统会提醒你系统 文件遭到修改
问你是否修复选择取消就可以了然后在C:WINNTHelp目录下建个叫"Tutor"目录这里是用来放cmd.exe命令记录地方当然你同样可以修改com101.pl来选择日志存放位置 现在我们运行cmd.exe,你会发现窗口
闪而过这是我们还没装perl解析器运行ActivePerl-5.8.0.805-MSWin32-x86.msi路next就OK了 现在我们运行cmd.exe,这回我们可爱
cmd窗口就跳出来了随便敲几个东西进去然后去到C:WINNTHelpTutor目录下你就可以看到记录了为了避免记录自己在cmd.exe操作我们可以把原来cmd.exe改成另外个名字来执行 4:安装日志服务器
我们选择KiwiSyslog Daemon 7是他够专业并且有很多统计信息和支持产品路next并启动服务即可 netstat -an我们可以看到514端口
UDP 0.0.0.0:514 *:*
5:安装evtsys_exe,解压缩的后有两个
evtsys.exe和evtsys.dll同样需要检测文件是否被修改 D:evtsys_exe>md5sum.exe *
md5sum.exe: .: Permission denied
md5sum.exe: ..: Permission denied
f5ba9453e12dc030b5e19f75c079fec2 *evtsys.dll
dcc02e429fbb769ea5d94a2ff0a14067 *evtsys.exe
eb574b236133e60c989c6f472f07827b *md5sum.exe
如果
切正常话执行evtsys.exe /? D:evtsys_exe>evtsys.exe /?
Usage: evtsys.exe -i|-u|-d [-h host] [-p port] [-q char]
-i Install service (安装服务)
-u Un
service (卸载服务) -d Debug: run as console program (以debug模式运行)
-h host Name of log host (日志服务器IP地址)
-p port Port number of syslogd (日志服务器端口
默认是514) -q char Quote messages with character
Default port: 514
我们运行D:evtsys_exe>evtsys.exe -h 日志服务器IP -i来安装服务
这样你系统
应用日志系统日志安全日志都会发到日志服务器去了这样我们就可以更加真实了解到系统运行情况 6:安装WinPcap_3_0_beta.exe和ethereal-
up-0.9.8.exe 下面针对本案例大概
说说ethereal使用 先启动ethereal
capture->start
capture packets in promiscuous mode
不选这个
我们只需要得到本机信息不需要以混杂模式运行 filter
filter name:irc
:ip host urip and tcp port 6667 只能有
条规则但是可以使用逻辑符号 否定(`!' or `not')
交集(`&&' or `and')
并集(`||' or `or')
还有=,>=, ,&等等
更加详细
设置请查看etherealmanual 先自己测试
下snfer是否工作 连接上IRC
并发言我们可以看到些结果 然后选择
个记录并且按”follow tcp stream”就可以查看IRC聊天内容了 7:安装设置绿色警戒防火墙 关闭“进入请求通知”
开放共享把所有入侵检测对策“拦截”都改成“警告”警告级别都改成“记录”我们主要是想了解下大概攻击情况 接着打扫战场
把你下载软件Software临时文件历史记录文档记录全部删除但是别忘记用regsnap做个镜象哦最后再次开启ethereal 现在剩下
就是等蠕虫感染来了………………
篇文章: 认识Linux平台 4大IDS入侵检测工具篇文章: 没有了
最新评论