iSCSI Honeypot

Lieber Besucher, herzlich willkommen bei: Ubuntu-Forum & Kubuntu-Forum | www.Ubuntu-Forum.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

iSCSI-Honeypot

Account auf eigenen Wunsch gelöscht

Beiträge: 18 492

06.12.2016, 15:19

iSCSI Honeypot

Guten Tag,

ich habe einen Honeypot auf Ubuntu Basis entwickelt, der das iSCSI Protokoll sicherer machen soll. Die Adresse ist [URL entfernt] oder [IP entfernt].
Das iSCSI Protokoll ist recht unsicher, weswege ich darum bitte, euch auf diesen Honeypot anzumelden und Dateien erstellt, verändert und dann wieder ausloggt. Im Idealfall wird euer Vorgang dabei von einem Script überwacht und zur späteren Auswertung genutzt.

Falls es Fragen gibt, werde ich sie gerne beantworten.

Viele Grüße
iscsihoneypot

*edit: Eine kurze Anleitung, wie das funktioniert:
Ihr installiert open-iscsi. Das ist die iSCSI Software für den sogenannten Initiator, damit ihr euch anmelden könnt.
Danach könnt ihr einen sogenannten Discovery durchführen -> sudo iscsiadm -m discovery -t st -p <IP Adresse>. Es werden zwei Targets angezeigt.
Mit sudo iscsiadm -m node -T <iqn name> --login könnt ihr euch dann einloggen. "dmesg | grep sd" zeigt euch dann die gerade erhaltene Festplatte an.

Mehr zu iSCSI findet ihr hier:
https://help.ubuntu.com/lts/serverguide/iscsi-initiator.html

Ich möchte betonen, dass mit eurem Rechner oder den Verbindungen absolut nichts schadhaftes passiert. Auf dem Honeypot läuft nur ein Script, welches für Dateiverifizierung da ist und den Netzverkehr belauscht.

--
URL und IP entfernt von Fredl. Bitte erst unten genannte Details klären..

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »iSCSI-Honeypot« (06.12.2016, 21:03)

Zum Seitenanfang

chroot

Ubuntu-Forum-Team

Beiträge: 2 321

Registrierungsdatum: 04.03.2008

Derivat: Kein Ubuntu-Derivat

Architektur: 64-Bit PC

Desktop: KDE4

Andere Betriebssysteme: Fedora 27

06.12.2016, 17:57

Hi,

etwas mehr hintergrundinfos wirst du warscheinlich schon liefern müssen, bevor irgendjemand sich irgendwo anmeldet und irgendwas macht. Ein knackiger zweizeiler tut es da glaub ich nicht ganz. Vielleicht erklärst du auch, womit anmelden, was genau machen usw.

"Do or do not. There is no try." (Yoda) || Thread auf gelöst/erledigt setzen

Zum Seitenanfang

Fredl

Ubuntu-Forum-Team

Beiträge: 11 331

06.12.2016, 23:49

Zunächst bitte klären, wieso das unter einer Subdomain der Universitaet der Bundeswehr liegt, die URL sich aber nicht auflösen lässt, und die angegebene IP zum Bereich der Telenor Networks AS, Norway gehört.
Bis dahin bleiben die obigen Angaben archiviert.

Beim Erstellen dieser Nachricht kamen keine Tiere zu Schaden.

me is all sausage
but don't call me Ferdl

Zum Seitenanfang

iSCSI-Honeypot

Account auf eigenen Wunsch gelöscht

Beiträge: 18 492

07.12.2016, 10:17

Zitat von »Fredl«

Zunächst bitte klären, wieso das unter einer Subdomain der Universitaet der Bundeswehr liegt, die URL sich aber nicht auflösen lässt, und die angegebene IP zum Bereich der Telenor Networks AS, Norway gehört.
Bis dahin bleiben die obigen Angaben archiviert.

In die URL hatte sich leider der Fehlerteufel eingeschlichen, statt eines - sollte ein . kommen. Warum die IP zu Telenor gehört, kann ich leider nicht erklären. Google spuckt aber den genauen Standort der IP aus. Zum Thema Bundeswehr: Es ist ein Projekt der Bundeswehr Universität in Neubiberg -> Fakultät Informatik und daher wird diese Domain genutzt.

Zum Seitenanfang

Fredl

Ubuntu-Forum-Team

Beiträge: 11 331

07.12.2016, 17:49

Zitat von »iSCSI-Honeypot«

In die URL hatte sich leider der Fehlerteufel eingeschlichen, statt eines - sollte ein . kommen.

In der URL kamen drei dashes vor. Wenn du jetzt noch sagst, welcher davon eigentlich ein dot sein sollte...

Zitat von »iSCSI-Honeypot«

Warum die IP zu Telenor gehört, kann ich leider nicht erklären.

Ich schon. Du hast auch die IP falsch abgetippt.

Ohne dir zu nahe treten zu wollen, ausgesprochen professionell war dieser Start jetzt nicht. Bring doch bitte noch ein paar Worte zu chroot's Frage und dann sehen wir weiter.

Beim Erstellen dieser Nachricht kamen keine Tiere zu Schaden.

me is all sausage
but don't call me Ferdl

Zum Seitenanfang

Horsemanchip

User

Beiträge: 1 131

Registrierungsdatum: 08.11.2015

Derivat: unbekannt

Version: gar kein Ubuntu

Architektur: 64-Bit PC

Desktop: LXDE

Andere Betriebssysteme: Debian bullseye-testing / 5.10.0-10-amd64

07.12.2016, 19:02

Bei diesen mageren "hingeworfenen" Infos, werde ich einen Teufel tun und an einem Projekt der Bundeswehr teilnehmen.

Just my 2 cents.

Heute ist keiner da! Komm morgen wieder. :-)

Zum Seitenanfang

iSCSI-Honeypot

Account auf eigenen Wunsch gelöscht

Beiträge: 18 492

08.12.2016, 08:16

Da der Test heute Abend zuende ist, hat sich die Anfrage erledigt und ich bitte darum, diesen Thread mitsamt dieses Nutzerkontos zu löschen.
Ich danke für die Rückmeldungen und den Teilnehmern!

Viele Grüße

____________
Geschlossen. Bluegrass