Honeypot as a Service: zapojte se do boje proti malwaru

Na ubuntu 14.04 to neviem rozbehat :-/
Ked to instalujem ako balicek .deb tak je to zavisle na python-twisted ver. 16.x ale ubuntu14 ma len 13.2 ako balik.
A ked to chcem rozbehat manualne, tak sa zaseknem na cryptography
error in cryptography setup command: Invalid environment marker: python_version < '3'

Mozno je cas na upgrade

Tento problem jsem vyresil takto:
pip install --upgrade --user setuptools pip

Chtěli jsme aby proxy fungovala s Python 2 i 3, což nás donutilo sáhnout až po verzi Twisted 16. Navíc Twisted má v sobě nějaké bugy a tak pro každou verzi Pythonu je nejnižší možná jiná. Uživatelé novějších systémů mohou zůstat u deb či rpm balíků, ostatní musí bohužel zůstat u pip, což může přinášet různé problémy z důvodu kompilace balíků atp. :-(

Nenašel jsem, které OS podporuje (před tím než se zaregistruji, pak nevím)

Dole tam vidím jedinou poznámku "stáhnout a spustit proxy na Vašem PC nebo serveru s Linuxem". Nevím, zda se Linux týká jen serverů či i toho PC. Poběží to tedy na Win (a jaká jsou podporována?). To by mi stálo za to, abych to nahodil třeba i u některých zákazníků (po jejich souhlasu), ale tam je win nutností.

P.S.: Pro Android (ale tam asi rootnutý, aby byl přístupný 22) by se to také hodilo. Obzvláště IPv6 (podporují?) tam mívá veřejnou IP (pokud už tam je IPv6) a ne všechny starší domácí routery mají firewall i pro IPv6, takže často Android visí venku nekrytý.

Linux se týká obojího, nezáleží zda proxy běží na serveru či vašem počítači. V podstatě je to jen malý Python script se závislostí na Twisted a sshpass. Pokud se povede zbavit sshpass, bude to fungovat všude, kde bude fungovat Python s implementací SSH v Twisted. :-)

Chtěl jsem se zapojit, založil jsem účet, nastavil…

Jen několik věcí, řekl bych show-stopper za mne.
1) nelíbí se mi, že se to daemonizuje, nenašel jsem volbu, aby proces zůstal v popředí a vypisoval jen log
2) rozhodně nedám procesu root práva (spojení je NATováno, takže port, na kterém haas naslouchá je > 1024)
3) nikde jsem rychle nenašel e-mail na podporu; měl jsem 3 spojení za hodinu, ale vždy ten python process hodin nějakou výjimku při sestavení spojení, nebo co to bylo

Škoda, zkusím někdy v budoucnu, účet jsem smazal.

Ale líbilo se mi, že při zrušení účtu se slušně zeptají, zda si přeji alespoň zachovat anonymizovaná data z honeypotu. Pěkné.

Co koukám do zdrojáku tak se tomu dá nastavit port na kterém to poslouchá, jen teda nevím proč to nikde nepíšou, pak by root práva neměla bejt nutná...

Tak, tak. To přesměrování je potřeba udělat tak jako tak. Je nesmysl spouštět pod rootem program, který není dostatečně prověřen (časem/revizemi) na bezpečnostní chyby a vlastně to vůbec nepotřebuje.

1) --nodaemon zkus...

1) Stačí použít přepínač --nodaemon (či kratší verzi -n) od Twisted. Přidáme do helpu. :-)
2) Root práva řešíme. :-) V příštím týdnu vydáme novou verzi, tak snad už bude pro vás snadnější se také zapojit do projektu.
3) Máme ho na stránce about / o projektu. Přidáme ho i na hlavní stránku. Kde jste ho hledal, kam by mělo smysl ještě kontakt přidat?

co takhle docker kontejner?...
(pro sebe sem si ho udělal, je to myšleno pro ostatní)

pripadne jestli chcete, zaslu...

Jste druhý s požadavkem o Docker. :-) Přidáme. Pokud pošlete command na jeho vygenerování, abychom to přidali do buildu, budeme rádi.

Ak už je niekde dostupný Dockerfile tak sem s ním

Je mi líto, ale to nefunguje.

/home/petr/Ha­aS/haas_proxy/__ma­in__.py: option --nodaemon not recognized


Zdrojové kódy jsou dostupné bez přihlášení. Ale máte pravdu, že návod a odkaz na ně je až v sekci Můj Honeypot. Zkusíme se zamyslet na jiné struktuře stránek. Na mojeID se pracuje. :-)

Klidne bych se i zapojil se svym OpenWrt, ale nechapu, proc je takova jednoducha vec napsana v pythonu - nic proti, ale:
a) instalovat kvuli tomu cely python (distutils a setuptools moduly nejsou v python3-light ale musi se nainstalovat cely python3)
b) muset si rucne cross-compilovat sshpass
c) stejne mne na openwrt chybi ten python modul twister a opravdu ho nebudu sam (cross)compilovat
:-(

Navic, jak uz tady nekdo psal, tato aplikace opravdu posloucha na portu 22, pri prichozim spojeni udela pres ssh binarku connect na haas.cz (pres sshpass preda vas device-token jako jmeno/heslo) a pak uz pouze prehazuje data 'vidlemi' tam i zpet.

Takze program na cca 50-100 radku v cistem c-cku (i s pseudo TTY fintou pro 'oblafnuti' ssh) a nebo normalne prilinkovat 'nativni' libssh2 .....

Bohuzel, nenasel jsem :-(
Ale muzete to skusit sam:
http://downloads.openwrt.org/snapshots/trunk/brcm47xx/mips74k/packages/packages/

Ono to není tak snadné. Pro potřeby párování dat k uživatelským účtům potřebujeme nějak SSH session označit. Nejschůdnější řešení je nahradit útočníkovo heslo za JSON s tokenem zařízení, heslem a původní IP adresou. Pythoní Twisted nám toto dokázal vyřešit snadno bez nutnosti kompilace na všechny možné systémy. Navíc používané honeypoty využívají také Twisted, takže aspoň nemusíme spravovat více přístupů.

Pokud máte nápad jak to udělat lépe, klidně se nám ozvěte, budeme rádi. :-)

$ sudo python -m haas-proxy -l /var/log/haas.log --pidfile /var/run/haas.pid haas_proxy --device-token f240............
/usr/bin/python: No module named haas-proxy

This is what I have done:
wget https://gitlab.labs.nic.cz/haas/proxy/raw/a84a97d098060c3fedfabdd7284455f806a9675f/release/python3-haas-proxy_1.1_all.deb
wget https://gitlab.labs.nic.cz/haas/proxy/raw/a84a97d098060c3fedfabdd7284455f806a9675f/release/python3-haas-proxy_1.1_all.deb.checksum
md5sum -c python3-haas-proxy_1.1_all­.deb.checksum
sudo dpkg --info python3-haas-proxy_1.1_all.deb
sudo dpkg -c python3-haas-proxy_1.1_all.deb
sudo dpkg -i python3-haas-proxy_1.1_all.deb
sudo apt-get install -f

Mne to taky hodilo "No module named haas-proxy" pri instalaci na Debianu 9 .....

Pokud jste nainstaloval python3-haas-proxy_1.1_all.deb zkuste spustit pomocí python3 - $ sudo python3 -m haas-proxy.... V debianu je python = python2.