domingo, fevereiro 15, 2009

Instalação do honeyd 1.5c com honeycomb 0.7 no CentOS 5.2 via compilação

# instala honeyd 1.5c
# install honeyd 1.5c
wget http://www.citi.umich.edu/u/provos/honeyd/honeyd-1.5c.tar.gz
tar -zxvf honeyd-1.5c.tar.gz
yum install pcre pcre-devel libpcap libpcap-devel
wget http://monkey.org/~provos/libevent-1.4.8-stable.tar.gz
tar -zxvf libevent-1.4.8-stable.tar.gz
yum install gcc
cd libevent-1.4.8-stable
./configure --prefix=/usr/local/libevent
make
make install
cd ..
wget http://prdownloads.sourceforge.net/libdnet/libdnet-1.11.tar.gz?download
tar -zxvf libdnet-1.11.tar.gz
cd libdnet-1.11
yum install gcc-c++
./configure --prefix=/usr/local/libdnet
make
make install
cd ..
cd honeyd-1.5c
yum install libtool readline-devel zlib-devel python-devel
./configure --prefix=/usr/local/honeyd --with-libevent=/usr/local/libevent --with-libdnet=/usr/local/libdnet --with-python
make
make install
cp -r scripts/ /usr/local/honeyd/
cd ..

# instala-se o honeycomb 0.7
# install the honeycomb 0.7

wget http://www.icir.org/christian/downloads/honeycomb-0.7.tar.gz
wget http://www.icir.org/christian/downloads/libstree-0.4.2.tar.gz

# instala libstree (pré-requisito para honeycomb)
# install libstree (pre-requisite for honeycomb)
tar -zxvf libstree-0.4.2.tar.gz
cd libstree-0.4.2
./configure
make
make install
cd ..
tar -zxvf honeycomb-0.7.tar.gz
cd honeycomb-0.7
./configure --with-honeyd=/usr/local/honeyd/bin/honeyd --with-libdnet=/usr/local/libdnet/bin --with-libevent=/usr/local/libevent --enable-debugging
cp -R ../honeyd-1.5c honeyd/
make
make install
# reinstala honeyd1.5c com suporte ao honeycomb
# reinstall honeyd1.5c with honeycomb support
cd honeyd
./configure --prefix=/usr/local/honeyd --with-libevent=/usr/local/libevent --with-libdnet=/usr/local/libdnet --with-python --with-plugins=honeycomb
make clean
make
make install
ln -s /usr/local/lib/libhoneycomb.so /usr/lib/libhoneycomb.so
ln -s /usr/local/lib/libstree.so.0 /usr/lib/libstree.so.0
chmod -R 766 /usr/local/honeyd/share/honeyd/webserver
chmod -R 766 /usr/local/honeyd/share/honeyd/webserver/htdocs/styles/

For the honeycomb configuration, see:
# reference: http://jsfyp.wordpress.com/2007/03/27/running-honeycomb


cd ..


Instalação do honeyd 1.5c no CentOS 5.2 via compilação

wget http://www.citi.umich.edu/u/provos/honeyd/honeyd-1.5c.tar.gz
tar -zxvf honeyd-1.5c.tar.gz
yum install pcre pcre-devel libpcap libpcap-devel rrdtool
wget http://monkey.org/~provos/libevent-1.4.8-stable.tar.gz
tar -zxvf libevent-1.4.8-stable.tar.gz
yum install gcc
cd libevent-1.4.8-stable
./configure --prefix=/usr/local/libevent
make
make install
cd ..
wget http://prdownloads.sourceforge.net/libdnet/libdnet-1.11.tar.gz?download
tar -zxvf libdnet-1.11.tar.gz
cd libdnet-1.11
yum install gcc-c++
./configure --prefix=/usr/local/libdnet
make
make install
cd ..
cd honeyd-1.5c
yum install libtool readline-devel zlib-devel python-devel
./configure --prefix=/usr/local/honeyd --with-libevent=/usr/local/libevent --with-libdnet=/usr/local/libdnet --with-python
make
make install
cp -r scripts/ /usr/local/honeyd/

cd /usr/local/honeyd/share
mkdir honeydstats
cd honeydstats
touch spammer_report.honeydstats
touch country_report.honeydstats
touch port_report.honeydstats
touch os_report.honeydstats
touch checkpoint.honeydstats
#defina um usuário e senha para o honeydstats
#define an user and password for honeydstats
echo "user:password" > configfile.honeydstats

cd ..
mkdir logs
cd logs
touch logfile.txt
touch servicelog.txt
chmod 766 *
cd ..

# personalize a faixa de ips para o seu caso
# customize the IPs range for your case
/usr/local/sbin/arpd -i eth0 192.168.1.10-192.168.1.35

#use an user e password definida no 'echo' para configfile.honeystats
#use an user and password defined in 'echo' for configfile.honeystats as showed above
/usr/local/honeyd/bin/honeyd -f /usr/local/honeyd/config.sample --rrdtool-path=/usr/bin/rrdtool -c 127.0.0.1:41000:user:password -l /usr/local/honeyd/share/honeyd/logs/logfile.txt -s /usr/local/honeyd/share/honeyd/logs/servicelog.txt

/usr/local/honeyd/bin/honeydstats -p 41000 \
-f /usr/local/honeyd/share/honeyd/honeydstats/configfile.honeydstats \
-c /usr/local/honeyd/share/honeyd/honeydstats/checkpoint.honeydstats \
--os_report /usr/local/honeyd/share/honeyd/honeydstats/os_report.honeydstats \
--port_report /usr/local/honeyd/share/honeyd/honeydstats/port_report.honeydstats \
--country_report /usr/local/honeyd/share/honeyd/honeydstats/country_report.honeydstats \
--spammer_report /usr/local/honeyd/share/honeyd/honeydstats/spammer_report.honeydstats

# References:
http://hi.baidu.com/xaliyan/blog/item/c3c8bbd0dd58aa1ec9c33.html





Instalação do arpd 0.2 no CentOS 5.2 via compilação

# é necessário a instalação da libdnet e libevent manualmente via compilação, tal qual exemplificado no artigo de instalação do Honeyd 1.5c.
# required the instalation of libdnet and libevent manually by compilation, as exampled in the article (post) of Honeyd 1.5c installation.

# Ao pacote original (http://www.citi.umich.edu/u/provos/honeyd/arpd-0.2.tar.gz) foi aplicado o patch disponível em http://honeyd.org/phpBB2/viewtopic.php?t=471, responsável pela compilação sem erros com gcc 4.x
# To the original packet (http://www.citi.umich.edu/u/provos/honeyd/arpd-0.2.tar.gz) has applied the pacth avaliable in (http://www.citi.umich.edu/u/provos/honeyd/arpd-0.2.tar.gz), responsible by compilation without erros with gcc 4.x


wget http://aaaleonardo.googlecode.com/files/arpd0.2patch.tar.gz
tar -zxvf arpd0.2patch.tar.gz
cd arpd
./configure --with-libdnet=/usr/local/libdnet --with-libevent=/usr/local/libevent
make
ln -s /usr/local/libevent/lib/libevent-1.4.so.2 /usr/lib/
make install
/usr/local/sbin/arpd --yournetwork_or_iprange

#



segunda-feira, fevereiro 09, 2009

Instalação do nepenthes 0.2.2 via svn e compilação no Debian 4

aptitude install build-essential subversion libtool automake libmysqlclient15-dev flex bison libcurl3-dev libmagic-dev libpcre3-dev libadns1-dev postgresql libpcap0.8-dev iptables-dev libssh-2-dev libpq-dev libcap-dev

#instala libemu 0.2.0 (pré-requisito)
#install libemu 0.2.0 (prerequisite) (libemu.carnivore.it)

svn co https://svn.carnivore.it/libemu/trunk libemu-svn
cd libemu-svn
autoreconf -i -v
./configure
# eu tentei configurar com ./configure --python-bindings mas isso resulta em erros na fase do "make install". Se você conseguir compilar com essa opção, dê-me um retorno.
# i tried configure with ./configure --python-bindings but this results in errors in the "make install" stage. If you achieve compile with this option, tell me a feedback.
make
make check
make install
cd ..

svn co https://svn.carnivore.it/nepenthes/trunk nepenthes-svn
cd nepenthes-svn
autoreconf -v -i

# eu não tentei configurar com libprelude porque eu não uso prelude ainda.
# i didn't tried configure with libprelude because i don't use prelude yet.
# eu tentei configurar o suporte a ssh mas a libssh2 presente no Debian testing mas não existe biblioteca compatível nos repositórios.
# i tried configure ssh support but the libssh2 in Debian 4 testing but there is no compatible library in repositories.

./configure --enable-ipq --enable-pcap --enable-mysql --enable-postgre --enable-emu --enable-lfs --enable-dnsresolve-adns --enable-capabilities --enable-debug-logging --with-mysql-lib=/usr/lib --with-mysql-include=/usr/include/mysql --with-postgre-lib=/usr/lib/postgresql/8.3/lib --with-postgre-include=/usr/include/postgresql --with-emu-lib=/opt/libemu/lib/libemu --with-emu-include=/opt/libemu/include --prefix=/usr/local/nepenthes
make clean
make
make install

/usr/local/nepenthes/bin/nepenthes

# Depois, você precisará criar os scripts de inicialização para tornar sua vida mais fácil.
#After, you will need create the initialization (start, stop, restart) scripts to make your life easier.





Instalação do nepenthes 0.2.2 via svn e compilação no CentOS 5.2

# antes de instalar, você precisa adicionar os repositórios rpmforge conforme a página:
# before install, you must add the rpmforge repositories as show in the page:
http://wiki.centos.org/AdditionalResources/Repositories/RPMForge

yum install adns-devel libpcap-devel libssh2-devel subversion mysql-devel postgres-devel byacc flex bison libtool automake pcre-devel gcc gcc-c++ curl-devel file libcap-devel iptables-devel

#instala libemu 0.2.0 (pré-requisito)
#install libemu 0.2.0 (prerequisite) (libemu.carnivore.it)

svn co https://svn.carnivore.it/libemu/trunk libemu-svn
cd libemu-svn
autoreconf -i -v
./configure
# eu tentei configurar com ./configure --python-bindings mas isso resulta em erros na fase do "make install". Se você conseguir compilar com essa opção, dê-me um retorno.
# i tried configure with ./configure --python-bindings but this results in errors in the "make install" stage. If you achieve compile with this option, tell me a feedback.
make
make check
make install
cd ..

svn co https://svn.carnivore.it/nepenthes/trunk nepenthes-svn
cd nepenthes-svn
autoreconf -v -i
# eu não tentei configurar com libprelude porque eu não uso prelude ainda.
# i didn't tried configure with libprelude because i don't use prelude yet.
# eu tentei configurar o suporte a ssh mas a libssh2 presente no CentOS 5.2 parece não ser compatível.
# i tried configure ssh support but the libssh2 in the CentOS 5.2 seems not compatible.

#Os três comandos rm abaixo são necessários porque sem eles o processo de compilação termina bem, mas você ganha um erro de execução como esse:
# The three rm commands bellow are necessary because without this the compilation process is ok, but you give a execution error like:
#Nepenthes Version 0.2.2
#Compiled on Linux/x86 at Dec 21 2008 06:33:43 with g++ 4.1.2 20071124 (Red Hat 4.1.2-42)
#Started on localhost.localdomain running Linux/i686 release 2.6.18-92.1.22.el5
#
#[ info mgr ] Loaded Nepenthes Configuration from "/usr/local/nepenthes/etc/nepenthes/nepenthes.conf".
#[ crit net handler ] Could not Bind Socket to Port 25
#Address already in use
#[ crit net handler ] ERROR Could not init Socket Address already in use
#[ crit net mgr ] ERROR Binding :25 failed
#[ crit mgr module ] Failed to load library "lib/nepenthes/shellcodesignatures.so": lib/nepenthes/shellcodesignatures.so: undefined symbol: line_number
#[ crit mgr module ] ERROR LOADING MODULE lib/nepenthes/shellcodesignatures.so: #SHUTTING DOWN
#Quit
#run is done -1

rm -f modules/shellcode_signatures/signatures_parser.c
rm -f modules/shellcode_signatures/signatures_parser.h
rm -f modules/shellcode_signatures/signatures_scanner.h

./configure --enable-pcap --enable-mysql --enable-postgre --enable-lfs --enable-dnsresolv --with-mysql-include=/usr/include/mysql/ --with-mysql-lib=/usr/lib/mysql/ --with-postgre-lib=/usr/lib/pgsql/ --with-postgre-include=/usr/include/pgsql/ --prefix=/usr/local/nepenthes --with-emu-lib=/opt/libemu/lib/libemu/ --with-emu-include=/opt/libemu/include/emu/ CC=/opt/gcc34/bin/gcc CXX=/opt/gcc34/bin/g++
make clean
make
make install

/usr/local/nepenthes/bin/nepenthes

# Depois, você precisará criar os scripts de inicialização para tornar sua vida mais fácil.
#After, you will need create the initialization (start, stop, restart) scripts to make your life easier.





quinta-feira, fevereiro 05, 2009

Instalação do Amun Python Honeypot 0.1.6 no Debian 4 Testing

wget http://ufpr.dl.sourceforge.net/sourceforge/amunhoney/amun-v0.1.6.tar.gz
tar zxvf amun-v0.1.6.tar.gz
cd amun
aptitude install python python-psyco python-mysqldb
adduser amun --system --group #não precisa responder a algumas perguntas

wget http://aaaleonardo.googlecode.com/files/amunhoney.sh -O /root/amunhoney.sh
# agora, manualmente insira no arquivo '/etc/rc.local' (acima da linha 'exit 0'): sh /root/amunhoney.sh
# now, manually insert in '/etc/rc.local' (above the 'exit 0' line): sh /root/amunhoney.sh

# Algumas vezes, amun quebra e para reiniciá-lo automaticamente após a quebra, criei um script (você precisa agendar sua execução no /etc/crontab):
#Sometimes, amun crash and for restarting automatically the service after that, i created a script (you need schedule your execution in /etc/crontab):
wget http://aaaleonardo.googlecode.com/files/heartbeat_amun.sh -O /root/heartbeat_amun.sh
echo
echo -e "* * * * * root sh /root/heartbeat_amun.sh\n\n#\n" >> /etc/crontab

# Nenhum script de reinicialização foi feito porque amunhoney é capaz de interpretar as mudanças no arquivo de configuração sem necessidade de "matar o processo".
# No restart script has made because amunhoney is able to interpret the changes in configuration file without need of "process's kill".

/root/amunhoney.sh
#Verifique com 'netstat -an' se várias portas TCP estão abertas. Se sim, então está funcionando.
#Verify with 'netstat -an' if many TCP ports are open. If 'yes', so it works.

#Documentação: arquivos INSTALL e conf/amun.conf do diretório do amun.
# Referência: http://amunhoney.sourceforge.net/index.php




Instalação do gcc 3.4.6 no CentOS 5.2 (Compilando o compilador)

# Essa publicação é um desejo realizado. Por muito tempo, eu sonhei com o dia em que poderia compilar o grande gcc. Sim, é um lindo, recursivo processo. [Para as pessoas sérias, é claro, os comentários acima são apenas uma pequena piada]. :) Minha oportunidade real foi a tentativa de compilar nepenthes 0.2.2 sem erros de execução.
# This post is a realized desire. :) For many time, I dreamed with the day that i could compile the great gcc. Yes, this is a beautiful, recursive process. [For serious people, of course, the comments above are just a little joke]. :) My real opportunity was the guess in compile nepenthes 0.2.2 in CentOS5.2 without execution errors.

# você precisa ter um compilador C pré-instalado, o que é muito provável que seja o próprio gcc em outra versão, se você usa linux.
# you need have a C compiler pre-installed, and if you use linux, is possible that it will be the own gcc in other version.

wget ftp://ftp.mirrorservice.org/sites/sources.redhat.com/pub/gcc/releases/gcc-3.4.6/gcc-3.4.6.tar.gz
./configure --prefix=/opt/gcc3.4
make bootstrap
make install
/opt/gcc3.4/bin/gcc --version

Referência:
Reference:
http://alexandrecunha.com/artigo/software/gcc_3_guia_de_instalacao


Instalação do Sawmill Log Analyzer no Debian 4 / CentOS 5.2

# Sawmill é um analisador de logs proprietário (código não-aberto). Sua licença é trial, até que você pague por ela (não é o meu caso).
#Sawmill is a proprietary (not open source) log analyzer. This license is trial, until that you pay for the license (isn't my case).
# Eu o testei na análise de logs do honeyd. Os resultados foram satisfatórios (entre alguns erros de execução, apenas repita os procedimentos de configuração).
# I tested it in analysis of honeyd logs. The results was satisfactory (between some execution errors, just repeat the procedures of configuration).
# Então, o processo de instalação é trivial...
# So, the installation process is trivial...

wget http://www.sawmill.net//download/sawmill/8.0.3rc2/sawmill8.0.3rc2_x86_linux-es5.tar.gz
tar -zxvf sawmill8.0.3rc2_x86_linux-es5.tar.gz
cd sawmill
./sawmill8.0.3rc2

#Sawmill irá rodar em localhost:8988, basta usar o seu navegador. A configuração é intuitiva.
# Sawmill will appears in localhost:8988 of your browser. The configuration is intuitive.

# Referência:
#Reference:
http://www.sawmill.net/formats/honeyd.html