Discussion:
Honeypot IMAP server voor Linux?
(te oud om op te antwoorden)
Rob
2010-03-27 10:34:20 UTC
Permalink
Het valt me op dat op het werk voortdurend connecties binnenkomen
voor poort 143 (IMAP). We hebben wel een IMAP server maar die zit
niet op internet.

Eigenlijk zou ik wel eens willen weten of dit gewoon attackers zijn
of dat er wellicht iemand ergens een poging heeft gedaan om via
internet zijn mail te lezen en daarbij de niet werkende puinhopen
heeft achtergelaten. De meeste pogingen komen namelijk van adressen
van een Nederlandse UMTS provider.

Weet iemand of er een soort van honeypot IMAP server bestaat die ik
op een Linux machine kan installeren en die alleen maar connecties
aanpakt en logt onder welke naam er geprobeerd wordt in te loggen?
(en dan die login weigert ofzo)

Ik heb al gezocht maar vind alleen "echte" IMAP servers. Die
hebben we al. Maar die ga ik niet online zetten :-)
richard lucassen
2010-03-27 11:10:22 UTC
Permalink
On 27 Mar 2010 10:34:20 GMT
Post by Rob
Het valt me op dat op het werk voortdurend connecties binnenkomen
voor poort 143 (IMAP). We hebben wel een IMAP server maar die zit
niet op internet.
Eigenlijk zou ik wel eens willen weten of dit gewoon attackers zijn
of dat er wellicht iemand ergens een poging heeft gedaan om via
internet zijn mail te lezen en daarbij de niet werkende puinhopen
heeft achtergelaten. De meeste pogingen komen namelijk van adressen
van een Nederlandse UMTS provider.
Weet iemand of er een soort van honeypot IMAP server bestaat die ik
op een Linux machine kan installeren en die alleen maar connecties
aanpakt en logt onder welke naam er geprobeerd wordt in te loggen?
(en dan die login weigert ofzo)
Ik heb al gezocht maar vind alleen "echte" IMAP servers. Die
hebben we al. Maar die ga ik niet online zetten :-)
Heb je gewoon niet een stel pda's die proberen te connecten?
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Rob
2010-03-27 11:20:09 UTC
Permalink
Post by richard lucassen
On 27 Mar 2010 10:34:20 GMT
Post by Rob
Het valt me op dat op het werk voortdurend connecties binnenkomen
voor poort 143 (IMAP). We hebben wel een IMAP server maar die zit
niet op internet.
Eigenlijk zou ik wel eens willen weten of dit gewoon attackers zijn
of dat er wellicht iemand ergens een poging heeft gedaan om via
internet zijn mail te lezen en daarbij de niet werkende puinhopen
heeft achtergelaten. De meeste pogingen komen namelijk van adressen
van een Nederlandse UMTS provider.
Weet iemand of er een soort van honeypot IMAP server bestaat die ik
op een Linux machine kan installeren en die alleen maar connecties
aanpakt en logt onder welke naam er geprobeerd wordt in te loggen?
(en dan die login weigert ofzo)
Ik heb al gezocht maar vind alleen "echte" IMAP servers. Die
hebben we al. Maar die ga ik niet online zetten :-)
Heb je gewoon niet een stel pda's die proberen te connecten?
Ik denk het ja. maar niet door het bedrijf uitgegeven.
Dus ik wil onderzoeken wie het is/zijn. Maar dan zonder onze
echte IMAP server vanaf internet connectbaar te maken.

Ik zoek dus iets wat ik online kan zetten en me een logje geeft
van de usernamen die geprobeerd worden. Dan weet ik of het een
medewerker of een kraker is.
richard lucassen
2010-03-27 11:29:33 UTC
Permalink
On 27 Mar 2010 11:20:09 GMT
Post by Rob
Post by richard lucassen
Heb je gewoon niet een stel pda's die proberen te connecten?
Ik denk het ja. maar niet door het bedrijf uitgegeven.
Dus ik wil onderzoeken wie het is/zijn. Maar dan zonder onze
echte IMAP server vanaf internet connectbaar te maken.
Of pda's die nog staan op hetzelfde ip van de vorige eigenaar van het
subnet?
Post by Rob
Ik zoek dus iets wat ik online kan zetten en me een logje geeft
van de usernamen die geprobeerd worden. Dan weet ik of het een
medewerker of een kraker is.
Ik zou er gewoon een install met een IMAP voor doen op een VM. Dat
staat binnen de kortste keren en als je het weet dan gooi je het weer
weg.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Rob
2010-03-27 12:01:44 UTC
Permalink
Post by richard lucassen
On 27 Mar 2010 11:20:09 GMT
Post by Rob
Post by richard lucassen
Heb je gewoon niet een stel pda's die proberen te connecten?
Ik denk het ja. maar niet door het bedrijf uitgegeven.
Dus ik wil onderzoeken wie het is/zijn. Maar dan zonder onze
echte IMAP server vanaf internet connectbaar te maken.
Of pda's die nog staan op hetzelfde ip van de vorige eigenaar van het
subnet?
Nee
Post by richard lucassen
Post by Rob
Ik zoek dus iets wat ik online kan zetten en me een logje geeft
van de usernamen die geprobeerd worden. Dan weet ik of het een
medewerker of een kraker is.
Ik zou er gewoon een install met een IMAP voor doen op een VM. Dat
staat binnen de kortste keren en als je het weet dan gooi je het weer
weg.
Inmiddels heb ik ontdekt dat er voor het pakket "honeyd" een pakketje
met aanvullende scripts bestaat waaronder exchange-imap.sh waarin een
exchange imap server geemuleerd wordt.

Eens kijken of dat wil werken als xinetd entry.
Rob
2010-03-27 18:31:40 UTC
Permalink
Post by Rob
Post by richard lucassen
On 27 Mar 2010 11:20:09 GMT
Post by Rob
Post by richard lucassen
Heb je gewoon niet een stel pda's die proberen te connecten?
Ik denk het ja. maar niet door het bedrijf uitgegeven.
Dus ik wil onderzoeken wie het is/zijn. Maar dan zonder onze
echte IMAP server vanaf internet connectbaar te maken.
Of pda's die nog staan op hetzelfde ip van de vorige eigenaar van het
subnet?
Nee
Post by richard lucassen
Post by Rob
Ik zoek dus iets wat ik online kan zetten en me een logje geeft
van de usernamen die geprobeerd worden. Dan weet ik of het een
medewerker of een kraker is.
Ik zou er gewoon een install met een IMAP voor doen op een VM. Dat
staat binnen de kortste keren en als je het weet dan gooi je het weer
weg.
Inmiddels heb ik ontdekt dat er voor het pakket "honeyd" een pakketje
met aanvullende scripts bestaat waaronder exchange-imap.sh waarin een
exchange imap server geemuleerd wordt.
Eens kijken of dat wil werken als xinetd entry.
Het werkt. Het blijkt tot nu toe om 1 gebruiker te gaan die zowel
vanaf UMTS als via een kabelabonnement inbelt met steeds dezelfde
usernaam en password, die niet volgens de structuur van onze usernamen
is. Waarschijnlijk dus een foute naam ingevuld bij de servernaam.
(er hangt een wildcard DNS entry aan dit adres dus dat zou makkelijk
kunnen)

Nu nog een truuk verzinnen om deze gebruiker hier op attent te maken...
Ik zou een mailtje voor hem klaar kunnen zetten, wieweet haalt ie dat
wel op als ik em binnenlaat (hij krijgt nu een login failed terug).
richard lucassen
2010-03-27 19:44:03 UTC
Permalink
On 27 Mar 2010 18:31:40 GMT
Post by Rob
Nu nog een truuk verzinnen om deze gebruiker hier op attent te
maken... Ik zou een mailtje voor hem klaar kunnen zetten, wieweet
haalt ie dat wel op als ik em binnenlaat (hij krijgt nu een login
failed terug).
Dat lijkt me wel een goeie. Maar je kunt het ook laten nu je weet dat
het maar 1 persoon is...
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Rob
2010-03-28 09:37:02 UTC
Permalink
Post by richard lucassen
On 27 Mar 2010 18:31:40 GMT
Post by Rob
Nu nog een truuk verzinnen om deze gebruiker hier op attent te
maken... Ik zou een mailtje voor hem klaar kunnen zetten, wieweet
haalt ie dat wel op als ik em binnenlaat (hij krijgt nu een login
failed terug).
Dat lijkt me wel een goeie. Maar je kunt het ook laten nu je weet dat
het maar 1 persoon is...
Ik hou er wel van om dit soort dingen uit te zoeken.
Vorige week nog had ik een ander fenomeen: we werden steeds maar
gepingd van verschillende adressen, een paar keer ping en dan weer
van een ander adres. Dit was op een van de IP adressen waar niks
op zit, dus geen reply. Ik heb toen een virtuele machine geinstalleerd
met dat adres en als ik reply gaf dan bleef hetzelfde adres maar pingen.
Zodra ik de ping blokkeerde dan hopte hij weer naar een ander adres.
Maar verder gebeurde er niks.

Ik heb toen een nmap gedaan en het bleek dat de hele collectie aan
gebruikelijke poorten open stond op dat systeem. Dus maar eens gekeken
met http://ipadres/ en wat bleek: het was zo'n nieuwerwets UMTS routertje.

Helaas was het wachtwoord niet de fabrieksdefault dus ik kon er niet
in kijken maar ik denk dat ze gewoon een fout adres hadden ingetikt bij
"ping this address to check if connection is alive" en dat ie dus steeds
maar verbrak en opnieuw connecte, steeds een ander adres krijgend.

Na een paar dagen merkten ze dat zelf ook kennelijk en hield het ineens
op.

Maar hoewel dit dezelfde UMTS provider was als wat we nu bij de hand
hebben denk ik niet dat het dezelfde klungel is. Het is een ander IP
adres en ook een ander device wat de verbindingen maakt.
(deze heeft geen open poorten)
richard lucassen
2010-03-28 12:42:58 UTC
Permalink
On 28 Mar 2010 09:37:02 GMT
Post by Rob
Post by richard lucassen
Dat lijkt me wel een goeie. Maar je kunt het ook laten nu je weet
dat het maar 1 persoon is...
Ik hou er wel van om dit soort dingen uit te zoeken.
Nou, dan heb je meer dan een dagtaak :-)

R.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Rob
2010-03-28 16:58:48 UTC
Permalink
Post by richard lucassen
On 28 Mar 2010 09:37:02 GMT
Post by Rob
Post by richard lucassen
Dat lijkt me wel een goeie. Maar je kunt het ook laten nu je weet
dat het maar 1 persoon is...
Ik hou er wel van om dit soort dingen uit te zoeken.
Nou, dan heb je meer dan een dagtaak :-)
Nee als ik er geen tijd voor heb dan laat ik het liggen uiteraard.

Maar soms doe ik gewoon eens een tethereal met zodanig filter dat het
legitieme verkeer er niet doorheen komt, om eens te kijken wat er zoal
geprobeerd wordt.

Een andere leuke is een voortdurende stroom van ICMP pakketjes met
random type/code die een of andere Chello loser stuurt. Het grappige
is dat die ook connects naar poort 143 probeert. Maar die is niet
altijd actief, wellicht een gehackte pc die zelden aan staat of zo.
Ik ben benieuwd wat de fake IMAP server van hem gaat loggen...
richard lucassen
2010-03-28 22:22:22 UTC
Permalink
On 28 Mar 2010 16:58:48 GMT
Post by Rob
Post by richard lucassen
Nou, dan heb je meer dan een dagtaak :-)
Nee als ik er geen tijd voor heb dan laat ik het liggen uiteraard.
Maar soms doe ik gewoon eens een tethereal met zodanig filter dat het
legitieme verkeer er niet doorheen komt, om eens te kijken wat er zoal
geprobeerd wordt.
Een andere leuke is een voortdurende stroom van ICMP pakketjes met
random type/code die een of andere Chello loser stuurt. Het grappige
is dat die ook connects naar poort 143 probeert. Maar die is niet
altijd actief, wellicht een gehackte pc die zelden aan staat of zo.
Ik ben benieuwd wat de fake IMAP server van hem gaat loggen...
Post je ervaringen! Ik wed dat het van een onwetende gebruiker is die
niet eens weet waar je het over hebt :)

Er wordt zoveel gerammeld aan allerlei poorten, je kunt wel aan de
gang blijven. Gewoon droppen die handel zou ik zo zeggen...
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Loading...