Статья Honeypot. Ловим хакера.

Honeypot – это средство безопасности, значение которого состоит в подверженности его сканированиям, атакам и взломам. Рано или поздно все те кто занимаются безопасностью надоедает взламывать юзеров, без разницы как закинув ему payload или сбрутить его акк, способов куча. Хочется взломать своих коллег по 'цеху'. Узнать их реальные ip адреса, получить доступ к их машинам. Для этих целей я написал специальный бэкдор, которые никто не обнаружил (когда-нибудь про это будет отдельная статья). Но мы поднимем honeypot. Его задача подвергнутся нападению и рассказать вам об этом.
Виды honeypot:

1. Honeypot, установленный на выделенном сервере, позволяют максимально приблизить его к реальному серверу, роль которого он выполняет(сервер данных, сервер приложений, прокси-сервер);
2. Эмулируемый honeypot быстро восстанавливается при взломе, а также четко ограничивается от основной ОС. Он может быть создан при помощи VMware или Honeyd.

honeypot может выполнять и разные задачи:

1. определять начало атаки, собирать информацию
2. рассказывать вам интересную информацию о действиях хакера
3. Вычислять самого хакера.

Еще как один из вариантов, чтобы взломать скрипт-кидди подбросить им 'хакерскую программу' с обфусифицированным бэкдором. Я расскажу как поднять самый простой honeypot. Мы будем использовать для web программу Pentbox.

wget https://sourceforge.net/projects/pentbox18realised/files/pentbox-1.8.tar.gz/download?use_mirror=netcologne

Далее распаковываем:

tar -zxvf pentbox-1.8.tar.gz

И запускаем:

./pentbox.rb

После запуска выбираем 2 пункт и видим много интересностей.

Выберете 3 пункт. У вас появится сообщение Honeypot activated on port 80. Можно изменить порт на ssh и смотреть кто вас будет брутить.
Вот отдельная статья про это:

Ссылка скрыта от гостей

. Также в статье я не мог не упомянуть программу honeyd. Это один из самых известных honeypot. Ссылка на статью:

Ссылка скрыта от гостей

Видеоинструкция: