www.morihi-soc.net

セキュリティの話題を中心に取扱中

ハニーポット観察記録(8)

Nepenthes というハニーポットのインストールについて説明します.

公式サイト

http://nepenthes.carnivore.it/

 

インストールに使用した OS は FreeBSD 8.3(x86_64)です.なぜ FreeBSD なんですかって? 個人の趣味です.

 

インストールは非常に簡単です.ports からインストールします.

# cd /usr/ports/net/nepenthes
# make install clean

インストール終了後,nepenthes ユーザとグループを追加します.

# adduser

(適当にユーザ作成する.おそらくログインすることはないので,ログインシェルを/usr/sbin/nologin にしておくとかね)

 

起動してみる.

> sudo nepenthes -u nepenthes -g nepenthes -D

 

こんな感じで起動します.この AA はウツボカズラでしょうか...

Nepenthes 起動画面

Nepenthes 起動画面

 

nmap で -sS するとこんな結果になります.(一部の情報を伏せています)

Nepenthes に nmap -sS

Nepenthes に nmap -sS

 

コンフィグファイルはここ

> ls /usr/local/etc/nepenthes/

 

ログファイルはここ

> ls /usr/local/var/log/

環境構築は非常に簡単です.

約1ヶ月ほど使ってみましたが,あまりイケてないなぁという感じです.たとえば HTTP だと,アクセスしてきた URL やリモートファイルインクルードのファイルの URL などが記録されるのは便利なんですが,nepenthes からのレスポンスが全くないので検索サイトのクローラが来ても,(おそらく)クローリングされない.だから攻撃ボットに補足されるチャンスがほとんどないので,攻撃検知数も少なくなっていると考えられます.

ファイル共有や FTP 等の その他のサービスもちゃんと機能しているのか不安でした.

 

amun に続き,Nepenthes も今後,あえて使う理由が見つからないです.

なお Nepenthes の後継の Dionaea を推奨する記事があり,これを見ても Dionaea を使ったほうが良さそうです.

introducting_dionaea (CARNIVORE NEWS)

 

 

Written by morihisa

10月 27th, 2013 at 8:38 pm