【実況】SSHハニーポットに侵入するボットの動きをリアルタイムで監視しよう
Show HN: Watch bots interact with an SSH honeypot in real time
Show HN: Watch bots interact with an SSH honeypot in real time
SSHハニーポットを構築し、そこへ無差別に侵入を試みる攻撃ボットの挙動をリアルタイムで可視化・監視できるプロジェクトです。セキュリティ学習や攻撃手法の分析にぜひ活用してみてください。
やあ tusksm!ハニーポットの季節だね!すごくクールなプロジェクトだ。自分も今 honeyprompt (https://github.com/alectrocute/honeyprompt) っていうハニーポットプロジェクトを作ってて、LLMを使ってレスポンスを生成したり、複数のプロトコルに対応させたりしてるんだ。honeypotlive.cc みたいな公開シンクのプレゼンテーション層を用意するのは、自分も次のTODOリストに入ってたところだよ。
https://xkcd.com/350/ を思い出したよ。
追加データとしてこんなのがあったら面白くない?curl https://ip.guide/{src_ip} を叩いて ASN とか国名とかを取得して、リーダーボードを追加するのさ。この分野で実験してて驚いたんだけど、Azure から来る悪意あるトラフィックの量ってハンパないんだよね。
早速誰かが『ビー・ムービー』の冒頭部分をスパムし始めてるな。なかなかいいダジャレだ。
興味本位で提案だけど、生の IP や認証情報をそのまま出すんじゃなくて、定期的にローテーションさせたキー付きハッシュ値に置き換えて公開してみたらどうかな?これなら限られた時間枠内でもイベントの相関分析ができるはずだよ。
パブリックIPに来るバックグラウンドノイズの量って、いつ見てもヤバいよね。面白いプロジェクトだ。
SSHのユーザー入力がWebインターフェースのエクスプロイトに悪用されるまでは見てて楽しいんだけどね :P
すごくいいね!クライアントの地理情報も追加されたら嬉しいかも(精度はそんなに高くなくても)。
ああ、自分もデフォルトポートでSSHデーモンを動かして funky.nondeterministic.computer で公開してるけど、ほとんどボットばっかりで全然面白くないんだよね。
サイトを開いたら巨大なランダムテキストのスパムだらけだったよ。せっかくの面白いプロジェクトが台無しにされてるみたいだね!作者のコメントにあったような、面白いボットの挙動パターンをもっと実際に見てみたかったな。