前回に引き続き、実際に稼働させる為に準備しました。

長い間、不調で眠っていたNetScreenをリセットして設定しなおし、稼働させました。
構成としては、次のような感じです。

　　[INTERNET] - [NetScreen] --- [DNRH] ハニーポット
　　　　　　　　　　　　　　　|- [NAS]
　　　　　　　　　　　　　　　|- [Hub] --- [NotePC]
　　　　　　　　　　　　　　　　　　　　|- [DeskPC]
　　　　　　　　　　　　　　　　　　　　|- [ServerA]
　　　　　　　　　　　　　　　　　　　　|- [ServerB]

今回はServerAがいろいろとサービスを稼働させている為、実際に蜜をしかけられるのは以下のポートだけです。

• 42/tcp nameserver
• 111/tcp rpcbind
• 135/tcp msrpc
• 139/tcp netbios-ssn
• 220/tcp imap3
• 445/tcp microsoft-ds
• 1023/tcp netvenuechat
• 1025/tcp NFS-or-IIS
• 2105/tcp eklogin
• 3372/tcp msdtc
• 5000/tcp UPnP
• 17300/tcp kuang2

有名どころのポートはほとんど塞がっていますが，果たしてこれで引っかかってくれるのでしょうか･･･。
という事で、早速稼働させました。

数時間後･･･。

ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!!!!

噂には聞いていましたが、まさかこんなに早くかかるとは思いませんでした。

[ info module ] 72 4
[ info module ] SMB Session Request 72
D CKFDENECFDEFFCFGEFFCCACACACACACA

コレとか、いかにも！って感じです。感動。

[ warn handler dia ] Unknown DCOM Shellcode (Buffer 137 bytes) (State 0)
[ warn handler dia ] Unknown DCOM Shellcode (Buffer 0 bytes) (State 0)
[ warn handler dia ] Unknown DCOM Shellcode (Buffer 0 bytes) (State 1)
[ warn sc handler ] codeSize (222) > postSize (186), maybe broken xor?
[ info down mgr ] Handler tftp download handler will download tftp://*******/ssms.exe
[ info down handler dia ] Downloaded file tftp://*******/ssms.exe 156672 bytes
[ info mgr submit ] File 2fa0e36b36382b74e6e6a437ad664a80 has type PE32 executable for MS Windows (GUI) Intel 80386 32-bit

しっかりバイナリもいただきました。やった！
でも、残念な事に，今回はNepenthesしか入れてなかったので･･･肝心のパケットデータとかがありません(TT)
そこで、Iplogを入れてみる事にしました。

こちらからダウンロードします。
で、解凍。

wget http://prdownloads.sourceforge.net/ojnk/iplog-2.2.3.tar.gz
tar zxvf iplog-2.2.3.tar.gz
cd iplog-2.2.3.tar.gz

libpcapが必要みたいなので、こちらからダウンロードしてインストールします。

wget http://www.tcpdump.org/release/libpcap-1.0.0.tar.gz
tar zxvf libpcap-1.0.0.tar.gz
cd libpcap-1.0.0
./configure
make
make install

後はiplogをインストール。

make
make install

make時に print_help でエラーが発生したので、めんどくさいので関数内のコードを消しました(←
動作には問題ないはずです。
後は実行させておけば /var/log/messages に溜まっていきます。

/usr/local/sbin/iplog
tail /var/log/messages

早速NetScreenから大量のICMPが飛んできている(4秒ごとに)事が分かったので、
設定を見直してICMP飛ばさないようにしました。

更にwiresharkを入れて、tsharkを使ってパケットキャプチャも行ってみます。

tshark -i eth0 -l -w log.pcap

これで log.pcap にログが保存されます。

･･･12時間後･･･

2種のバイナリが取れていました。
他にも興味深いパケットやログが多数！
コレの意味するところというのは、やはり

ルータかFWは必須

という事でしょうか。だって、ルータがなければ･･･これ･･･全部ホストに来ちゃいますもんね。。
セキュリティパッチを当てる事の重要性や、ルータ(というか使わないポートを塞ぐ事)の重要性が改めて分かりました('-')