Instalasi dan konfigurasi Dionaea di Ubuntu

Dionaea adalah salah satu low interaction honeypot yang menawarkan layanan SMB, HTTP, FTP dan TFTP.

1. Sebelum melakukan konfigurasi, pastika beberapa paket berikut ini sudah terinstall:

  • Liblcfg
  • Libemu
  • Libnl
  • Libev
  • Python 3.2
  • Cython
  • Libcurl
  • Libpcap

2. Untuk install dionaea, tinggal tambahkan 2 baris repository berikut ke dalam sources.list.

deb http://ppa.launchpad.net/honeynet/nightly/ubuntu precise main
deb-src http://ppa.launchpad.net/honeynet/nightly/ubuntu precise main

3. Update dan install dionaea
sudo apt-get update
sudo apt-get install dionaea

3. Set up diretories yang dapat diakses oleh dionaea:
sudo mkdir -p /var/dionaea/wwwroot
sudo mkdir -p /var/dionaea/binaries
sudo mkdir -p /var/dionaea/log
sudo chown -R nobody:nogroup /var/dionaea/
2
4. Update file config dengan dengan direktori-direktori yang baru:
sudo mv /etc/dionaea/dionaea.conf.dist /etc/dionaea/dionaea.conf
sudo sed -i ‘s/var\/dionaea\///g’ /etc/dionaea/dionaea.conf
sudo sed -i ‘s/log\//\/var\/dionaea\/log\//g’ /etc/dionaea/dionaea.conf

5. Sebelum kita mulai dionaea, kita harus konfigurasi file yang ada di/etc/dionaea/dionaea.conf. Disarankan untuk mengedit logging untuk mengurangi jumlah logging. Kita set levels dari “all” ke warning, error.

3

6. Aktifkan Dionaea sebagai Daemon

sudo dionaea -c /etc/dionaea/dionaea.conf -w /var/dionaea -u nobody -g nogroup -D

7. Check proses apakah dionaea sudah berjalan dengan baik:
ps -ef | grep dionaea

5

8. Check status jaringan:
netstat -tnlp | grep dionaea

6

9. Jika penasaran dengan log, bisa check di sini:
cd /var/dionaea/log

10 Fingerprinting dengan p0f
Untuk informasi lebih jelas tentang penyerang dan sistem operasi dan versinya, kita harus menginstal library fingerprinting “p0f”. Untuk menginstallnya tinggal jalankan perintah berikut:
sudo apt-get install p0f

11. Edit /etc/dionaea/dionaea.conf pada bagian ihandler. Hilangkan comment untuk “p0f”
212. Dionaea memiliki p0f yang sudah diintergrasikan kedalam  stream analysis, namun p0f harus pre-autorisasi dan dijalankan secara terpisah.

sudo p0f -i any -u root -Q /tmp/p0f.sock -q -l -d -o /var/dionaea/p0flog.log

Pengunaaan dapat dilihat digambar berikut:

2

12. Jalankan lagi Dionaea:
sudo dionaea -c /etc/dionaea/dionaea.conf -w /var/dionaea -u nobody -g nogroup -D
3

13. Menguji apakah proses p0f berjalan sebelum konfigurasi socket yang terkait dengan /tmp/p0f.sock kemudian Dionaea:
ps -ef | grep p0f

4

Submit hasil tangkapan malware Dionaea ke virustotal
1. Hilangkan comment(#) untuk virustotal pada bagian ihandler yang ada di dionaea.conf.
2. Pastika sudah punya akun di virustotal
3. Login ke virus total kemudian, copy Api key seperti berikut ini:
8
4. Copy Api key kemudian tempel di dionaea.conf bagian virustotal:
7
5. Jalankan Dionaea
sudo dionaea -c /etc/dionaea/dionaea.conf -w /var/dionaea -u nobody -g nogroup -D

This entry was posted in SECURITY. Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s