Sort:  

OK jetzt habt Ihr mich final überzeugt - rasberry 3b+ bestellt. Euer Honigtopf hat also funktioniert :)

Danke für das Video - ich werde das auf jeden Fall installieren - upvote und resteem wieder mal verdient.

Ja, man kann wirklich viel Spaß mit Honeypots haben. ^^

Ich spiele auch schon länger mit dem Gedanken mir einen Rasperry für diverse Basteleien und (Linux-) Zwecke zu kaufen. Jetzt habe ich noch einen Grund mehr (mich auf der Kommandozeile zu entblöden :) .

Sum sum sum, macht ihr bitte auch ne Auswertung von einem richtigen Angriff. @sempervideo

Pi hole schön und gut :) Aber bevor ich damit was anfangen kann, müsste ich erstmal lesen. Bruteforce, Honeypot... klar kenn ich. Aber ich hab zuwenig plan vom hacken, als das ich was mit den vorrangehensweisen des hackers was anfangen könnte. Aber interessant ist es allemal. Erinner direkt an mr.robot :)

Naja das eigentliche Hacken ist ja, wie er zum Passwort kommt. Danach wird er quasi nur noch Shellbefehle eintippen und evtl. Programme ausführen.

Wenn du dich mit den grundlegenden Linuxbefehlen auskennst und Google für nicht bekannte Befehle nutzt, wirst du wahrscheinlich doch einiges herausfinden können.

Auch wenn dir das im Endeffekt nichts anderes bringt, als zu schauen, was der Hacker da so treibt.

Jo klar, das würde ich auch machen. Wozu das ganze sonst ?! Ich würde vermutlich den großteil der befehle googlen müssen ^^

Das ist der Skriptkiddie-Teil. Kein richtiges hacken.

Oder einfach Cowrie in einem Container laufen lausen, die isoliert, wie eine VM, auf dem PC läuft, aber nur die Resourcen benützt die es auch wirklich braucht oder man erlaubt.
Oder ein BBS aufsetzen auf dem der Hacker, der versucht Shell oder Cmd Befehle auszuführen nichts mit anfangen kann.
Oder ein SSH Server selber aufsetzen mit paar Beschränkungen wie "X11Forwarding no", AllowTcpForwarding no und ChrootDirectory auf einem quasie leeren Ordner (nur bash oder ähnliche minimale Tools rein kopieren die der Attacker mit spielen darf) mit einer hübschen motd wie "Hello World" oder "Welcome to my honey pot, you have just been infected with the Bundestrojaner", worauf das Cute chicks Bild hochgeladen wird.

Container sind noch lange nciht so sicher wie man denkt. War selbst erstaunt, dass ich mit nem bisschen Exploit-Coding bei ner etw. veralteten v4.4 de Kernels rausgekommen bin. Würde allen als lightweight Hypervisor Gvisor emphelen, super Ding, gerade rausgekommen. Sehr resourcensparend weil Docker dann trotzdem cgroups und namespaces umsetzt.

Klar kann man bei veraltetem Kernel/Software über nun bekannte Exploits ausbrechen, dewegen updated man ja. Gibt genauso Schwachstellen bei gängigen Hypverisorn nur ist die Angriffsfläche geringer durch höhere Abstraktion, besonders bei proprietäre Software, und dadurch Exploits seltener aber durchaus vorhanden .
Meltdown zeigte, dass es immer irgendwo (sogar in Hardware) Exploits geben kann, höchste Regel ist daher als Betreiber immer auf seine Systeme aufzupassen und bei 0-day Exploits gleich zu patchen oder bei hohem Risiko offline nehmen.
Ich würde zumindest meinen Corwie Server zusätzlich absichern, z.B. nicht erlauben gedownloadete Scripts/Binaries auszuführen.

Aber ich kann ja nicht KVM-Server immer neustarten wenn ich will und es kann auch mal nicht schnell genug sein, z.B wenn ich im Niemandsland ohne Netz bin und ein Zero-Day-Exploit released.

Ein Stevie-Wonder-Gag zum Frühstück - das kann nur SemperVideo sein... ;-)

bei dem titel dachte ich das währ was aus dem Polizeistaat bayern

Super Danke. Werde es Mal gleich ausprobieren

Hahaha Wahnsinn, was es nicht alles gibt :D
Danke für den Tipp! Aktuell für mich noch uninteressant, wird mir bestimmt irgendwann mal hilfreich sein :)

Soweit so gut aber was ich mich Frage was jetzt nicht aus dem Video zu erkennen wahr, was ist wenn ich mich jetzt als Admin anmelden möchte um gewisse Sachen zu administrieren? Weil wen man sich als Root anmeldet und schon im Topf gefangen ist wie kommt den selber auf das System wieder rauf?

Du meldest dich einfach von einem anderen Port an. Hier wurde sogar statt SSH das RDP Protokoll verwendet, welches auf einem anderen Standart Port läuft. Natürlich sollte dieser Port, auf dem man sich anmeldet, so gut wie möglich vor dem Angreifer verschleiert werden. Dies wurde dadurch erreicht indem auf dem Router nur der Port 22, der Standart SSH Port, freigegeben und auf den Port 2222 des Pis weitergeleitet wurde. Wo dann Cowrie die Anfragen empfängt. Der Angreifer sieht dann nur den offenen Port 22, man selber im LAN kann aber auch auf alle anderen offenen Ports zugreifen.

Das muss ich dann auf jeden Fall einrichten auch wenn es einem Privatnutzer vielleicht nicht so viel bringt. Aber man weis ja nie wen man vielleicht einfängt.
Gutes Video wie immer :)